Utilizando os IoCs do Microsoft Defender Threat Intelligence no Sentinel 03 setembro 2023 msincic Azure Sentinel, Cloud computing, Cybersecurity, Governança, Microsoft Azure, Microsoft Sentinel, Segurança, Windows Azure, Azure, Microsoft Defender A alguns anos que a Microsoft adquiriu a RiskIQ e lançou recentemente o Microsoft Defender for Threat Intel (MDTI). O que é o MDTI? Já tratei algumas vezes sobre IoCs, ou indicadores de comprometimento em inglês, e como eles podem ser integrados como o caso do VirusTotal (Marcelo Sincic | Enriquecendo o Sentinel com dados do Virus Total). Nesse post vamos falar da solução do MDTI e como integrar a base dele ao Senitnel e utilizar para hunting e análise de incidentes e alertas em seu ambiente. Primeiramente é importante saber que o serviço MDTI é pago por usuário em um modelo de licenciamento por contrato, mas a base de dados pode ser importada para o Sentinel por meio de um conector. Conectando o Sentinel a base do MDTI Para isso você precisará instalar a solução Microsoft Defender for Threat Intel no Sentinel a paritr do Content Hub e depois configurar o Data Connector como abaixo: Uma vez configurado será feita a ingestão diária os dados do MDTI para a base Threat Intelligence do Sentinel: Importante lembrar que os IoCs ingeridos do MDTI irão se somar aos IoCs customizados ou importados de outras bases que você tenha configurado. Configurando as integrações de Log com TIs Ao instalar a solução e fazer a configuração do conector de dados, o passo seguinte é configurar e instalar as regras de cruzamento de dados utilizando o Analytics do Sentinel. São varias regras diferentes que você poderá utilizar que já estão prontas: Estas regras são compostas de consultas KQL que analisar um alerta e incidente para cruzar co ma base de IoCs importadas, resultando em um enriquecimento de dados ao validar que um determinado IP ou URL maliciosa foi acessada ou tentou acessar seu ambiente. Claro que isso pode ser feito manualmente, bastaria rodar uma query KQL manual ou customizada no Sentinel em hunting queries para cruzar IPs e URLs com os diferentes logs do Sentinel existentes. Um exemplo disso foi um recente cliente onde discutimos o cruzamento do log do Umbrella DNS com o MDTI para detectar sites maliciosos acessados pelos usuários. Visualizando os incidentes com os dados do MDTI Agora vem a parte prática. Tudo configurado você terá alertas e incidentes novos em seu ambiente: Vamos abrir os detalhes do primeiro e ver o IP que indica um ataque potencial: Uma vez que no proprio incidente já sei que o IP é considerado suspeito, podemos investigar os detalhes importados na base para visualizar os detalhes: E por fim, vou utilizar a interface do MDTI para consultar os dados do IP, lembrando que neste caso preciso ter uma licença de MDTI para ver os detalhes: Vamos agora fazer o mesmo processo com o segundo incidente de exemplo que tenho na minha lista e abrir os detalhes no MDTI: Conclusão O serviço Microsoft Defender for Threat Intel (MDTI) irá ajudá-lo a detectar diversas formas de ataques vindas de ofensores e grupos profissionais ou previamente identificados. Alem disso, sua base é rica em detalhes do tipo de ataque, alvos e grupos que atuam com aquele IoC especifico que foi utilizado para tentar acesso ao seu ambiente.
Azure Monitor SCOM Managed Instance–System Center Operations Manager no Azure 14 dezembro 2022 msincic Operations Manager, System Center, Windows Azure, Azure, Microsoft Azure, Cloud computing, Governance, Governança Em abril deste ano com o lançamento da suite System Center 2022 escrevi se os produtos ainda eram importantes e seus correspondentes em serviços e soluções no Azure Marcelo de Moraes Sincic | Lançamento do System Center 2022–Ainda Vale a Pena? Será descontinuado? (marcelosincic.com.br) Um destes produtos era o System Center Operations Manager (SCOM) que sempre foi uma ferramenta muito importante na monitoração de ambientes on-premisse. Como já abordado em abril, o uso de Azure Arc e Azure Monitor pode ser utilizado para ambientes on-premisse mas dependem de internet, geração de alertas correspondentes escritos em KQL e consumindo créditos com a ingestão maciça de eventos do log. Por exemplo, uma regra construida no SCOM onde relacionamos o log de um servidor com outro usando um Event ID sequencial para indicar uma cadeia de quebra ou então um mapa com objetos relacionados é muito mais complicado de ser construido no Azure Monitor exigindo conhecimento de Notebooks Jupyter e KQL. O que é o Azure Monitor SCOM Managed Instance Na prática a Microsoft não está lançando um produto novo ou feature nova mas sim transformando um PaaS um produto que ainda é muito importante para diversas corporações. O diagrama abaixo disponivel em About Azure Monitor SCOM Managed Instance (preview) | Microsoft Learn deixa bem claro que a funcionalidade se inverte onde o SCOM agora é que está em cloud monitorando o ambiente on-premisse. Fatores a serem considerados Com esse novo recurso temos que questionar se irá ou não valer a pena migrar para o ambiente gerenciado e podemos usar estes fatores inicialmente: Vantagens Desvantagens Não ter que gerenciar os recursos agregados, que normalmente eram o mais “problemático” como o Reporting Services e SQL Utilizar os mesmos Management Packs que o on-premisse Facilidade na implementação e escalabilidade já que todo o processo criativo dos recursos é realizado pelo Azure Licenciamento é o mesmo, aproveitando o investimento nas licenças CIS ou System Center Suite Utilizar o SCOM monitorar as VMs locais no Azure e outras clouds, aproveitando o conhecimento já adquirido no om-premisse, sem a necessidade de enviar dados das Azure VM para o ambiente on-premisse Integração simples com Power BI Custo de ingestão de logs no Azure Monitor utilizando o Arc é maior que o custo de upload dos logs via VPN Custo de infraestrutura no Azure para VMs, Load Balancing e tráfego de dados Situação de link internet invertida, agora não é mais o SCOM que enviaria os dados para o Azure Monitor e sim os servidores on-premisse que enviarão dados para o SCOM, gerando alertas em cascata quando houver queda de link Discovery para instalação automática não é suportado (1) Não é possível ter Management Servers no ambiente on-premisse (2) (1) Até o momento não disponivel no Preview (2) Até o momento não é suportado, mas permite o uso de Gateway Server
E-book recursos de segurança e Suporte a LGPD do Microsoft Office 365 28 setembro 2020 msincic Active Directory, Cloud computing, Governança, Office 365, Segurança, Sharepoint, Windows Azure, Azure Com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados) em 19/Setembro/2020, a procura por produtos que deem suporte a vazamentos de dados se tornou prioritária. Na prática já deveríamos ter essa preocupação a muito tempo, mas agora com a Lei aprovada é necessário implementar algumas regras. Sabemos que nem todos os artigos tem a ver com regras técnicas, por exemplo ter metodologias implementadas que comprovem o cuidado que a empresa tem no dia a dia que pode ser ISOs, ITIL e outras que já sejam praticadas e reconhecidas. Porem a proteção do vazamento por e-mail, ferramentas de IM e até roubo de equipamentos físicos é sim uma caraterística técnica. Sem falar em arquivamento de dados legais que não tem a ver com a LGPD mas sim com normas jurídicas e fiscais (retenção de 7 anos por exemplo). Sendo assim, quais ferramentas o Microsoft Office 365 contem e podem ser habilitadas? Nesse e-book abordamos as diferentes ferramentas e pacotes que as contem, lembrando que não é um guia de implementação com telas, mas sim descrição dos recursos. Clique aqui para baixar!
Instancia Reservada no Azure–Mudanças Importantes 10 setembro 2019 msincic Azure, Microsoft Azure, Windows Azure A algum tempo que já temos disponivel o recurso de comprar antecipadamente uma instância de maquina virtual, chamado de Reserved Instance. Basicamente o processo se mantem (http://www.marcelosincic.com.br/post/Reducao-de-Custos-com-Azure-Reserved-Instance.aspx) mas temos algumas novidades e alertas: Alteração do tipo de VM Outros recursos que podem ser reservados Mudança na forma de cobrança O que não está incluido em uma reserva Possibilidade de Alteração da Instância (perfil de VM) Essa mudança é importante, pois na primeira versão (link acima) não era possivel mudar o tipo de VM. O processo para mudar era pedir o reembolso da instância já paga (lembrar que existia um penalty) e refazer com outro tipo de VM da mesma familia, como por exemplo de D2 para D4. Para isso basta utilizar o botão Exchange em uma reserva e será possivel escolher o novo tipo de VM como abaixo sem o penalty dos aproximadamente 12% do cancelamento. Porem, obviamente que o custo de uma D2 é diferente de uma D4 e para isso temos uma tabela que pode ser usada no calculo para saber o valor da diferença que será pago quando trocar entre os tipos de VM em https://docs.microsoft.com/en-us/azure/virtual-machines/windows/reserved-vm-instance-size-flexibility?wt.mc_id=4029139 Outros Tipos de Recursos Alem das VMs Na versão inicial as RIs eram apenas VMs, mas agora é possivel fazer com diversos tipos de serviços. Atualmente segue a lista dos que são suportados: Reserved Virtual Machine Instance Azure Cosmos DB reserved capacity SQL Database reserved vCore SQL Data Warehouse App Service stamp fee Essa lista é alterada conforme novos recursos podem ser agregados e está disponivel em https://docs.microsoft.com/en-us/azure/billing/billing-save-compute-costs-reservations?wt.mc_id=4029139 Importante: Veja o tópico abaixo sobre o que é incluido ou não no RI. Forma de Pagamento Mensal Até 8/Setembro/19 só era possivel o pagamento antecipado a partir de créditos do Enterprise Agreeement ou pagamento em cartão de crédito. Agora é possivel o pagamento mensal, ou seja todos os meses irá consumir o valor com desconto igual ao anual como se fosse uma subscrição mensal e não anual. O melhor para entender é que o compromisso continua anual, mas pago mensal ao invés de upfront. As outras regras continuam as mesmas, penalty em caso de cancelamento, mudança do tipo de VM ou serviço, etc. Para os que já tem reservas será necessário aguardar o prazo da compra, uma vez que foi pago antecipado e por isso haveria a cobrança da taxa de cancelamento. https://docs.microsoft.com/en-us/azure/billing/billing-monthly-payments-reservations?wt.mc_id=4029139 Importante: O pagamento mensal não mudou a forma de reserva ser anual, ou seja haverá o penalty em caso de cancelamento. Recursos Cobrados em Separado Uma confusão muito comum nos clientes que compraram RIs é o fato de continuar havendo outras cobranças para as VMs e recursos aparecendo em seus extratos. O que precisa estar claro é que reservas se referem apenas aos recursos computacionais e não os recursos agregados como licenças, armazenamento e trafego de rede. Por exemplo, no tipo de reserva para VMs que são as mais comum: Incluido no RI: CPU, memória e alocação Não incluido no RI: Armazenamento (storage), tráfego de rede (network) e licenciamento do SO se não foi utilizado o AHUB O motivo é que estes recursos não incluidos fazem parte da subscrição e são compartilhados ou opcionais (como é o caso da licença do Windows ou SQL) e não haveria como limitar ao uso apenas daquelas reservas especificas, alem de serem voláteis diferente do tipo de uma VM por exemplo. Conclusão Com os novos recursos que podem ser reservados, flexibilidade na alteração, a nova forma de cobrança e o entendimento correto pode-se gerar uma economia substancial para aqueles que migraram serviços.
Controlando Gastos no Azure com Cloudyn 12 março 2018 msincic Azure, Cloud computing, Microsoft Azure, Windows Azure Muito foi falado da compra da Cloudyn pela Microsoft e como isso seria integrado no gerenciamento de [Leia mais]
Site para Teste de Rede com Azure 14 abril 2017 msincic Azure, Cloud computing, Windows Azure Muito comum quando estamos em projetos com Azure termos o questionamento sobre os custos e recursos disponiveis fora do Brasil versus latencia. Para equalizar este tipo de situação, podemos usar o site http://www.azurespeed.com/ Alem do teste de latência podemos fazer testes de download e upload, ranges de IP usados por cada datacenter e outras informações bem interessantes.
Utilizando o Azure Log Analytics (OMS) e o SCOM na Mesma Maquina 09 julho 2016 msincic Microsoft Azure, System Center, Operations Manager, Windows Azure, OMS, Azure, Log Analytics Para utilizar o Log Analytics, antigo Operational Insights, junto com o System Center Operations Manager é possível fazer isso pelo console do próprio SCOM. Essa forma de integração já em Março/2014: http://www.marcelosincic.com.br/post/Integrando-o-SCOM-ao-System-Center-Advisor.aspx Apesar de ter alterado o nome de System Center Advisor, depois para Operational Insights e agora Log Analytics, o processo de integração com o SCOM se manteve o mesmo. Porem a uma limitação no processo de integração do SCOM, pois ele só permite uma conta de OMS/Log Analytics por organização. Em muitos casos é necessário usar mais de uma conta, por exemplo: Provedores de serviço e CSC em que cada cliente tem uma conta diferente no Azure Quando utilizamos múltiplas assinaturas para monitorar um mesmo ambiente físico Quando uma das contas é beneficio de Visual Studio com créditos limitados e desejamos separar os servidores em contas diferentes Nestes casos podemos utilizar os dois métodos os mesmo tempo, instalar o agente do SCOM e não vincular a uma conta do Log Analytics e fazer o processo apenas nas maquinas desejadas. Para isso, o primeiro passo é abrir o Log Analytics e copiar o Workspace ID e o Primary Key. Veja no exemplo abaixo que já tenho meu SCOM integrado ao Log Analytics. O passo seguinte é ir até a maquina que deseja monitorar e abrir o agente de monitoração do SCOM (Microsoft Monitoring Agent): Ao abrir as configurações do agente note a aba Azure Operational Insigths (nome anterior a Log Analytics). Veja nesse print que já tenho a maquina sendo reportada ao SCOM: Insira os dados da sua conta do Log Analytics e pronto, agora é possível ter a monitoração com várias contas ou individual: Agora os meus dados de Active Directory que antes não estavam sendo populados passam a estar devidamente preenchidos e monitorados:
Gartner libera novo quadrante de Hypervisors x86 02 agosto 2015 msincic Cloud computing, Hyper-V, Microsoft Azure, System Center, Virtual Machine Manager, Virtualizaçao, Windows 2012, Windows Azure Pack, Windows Azure O Gartner liberou no meio do mês passado o novo quadrante de hypervisors x86.Em relação ao quadrante [Leia mais]
Novo Azure AD Connect 29 junho 2015 msincic Microsoft Azure, Active Directory, Windows Azure Na semana passada a Microsoft liberou a nova ferramenta para sincronização de AD local com o Azure AD. Essa nova ferramenta tem as mesmas funcionalidades das anteriores DirSync e ADDSync, mas acrescesta facilidade na administração do serviço e acesso aos conectores. Para baixar e ver detalhes: https://azure.microsoft.com/en-gb/documentation/articles/active-directory-aadconnect/ Instalação e Upgrade do Dirsync Para quem já tem o Dirsync ou o ADDSync instalado o Azure AD Connect irá fazer o upgrade e solicitar apenas a credencial do Azure para configurar, mas após o upgrade é possivel alterar facilmente as configurações. A sequencia abaixo mostra o upgrade, sendo bem simples pedindo apenas as contas online e on-premisse: Configuração Pós-Instalação A interface do Azure AD Connect é realizada com ferramentas gráficas acessiveis pelo Menu Iniciar: A ferramenta que torna mais fácil configurar como comentado no inicio do artigo é o Synchronization Service, onde ao abrir já é possivel ver os conectores habilitados, o estado da sincronização, log das ultimas sincronizações e utilitários na lateral: Por exemplo, para sincronizar manualmente basta clicar sobre uma das conexões e escolher como quer sincronizar (Connectors –> Run): Visualização, Atualização e Criação de Conectores Ao clicar em qualquer um dos conectores abre-se um wizard onde podemos alterar os conectores básicos ou criar novos conectores. O wizard é muito simples e funcional, como mostram as imagens abaixo utilizando o Properties: E para criar novos conectores, ao clicar em Create temos criar os diversos tipos de conectores on-premisse ou online utilizando o wizard das imagens acima. Vale a pena fazer o upgrade para quem tem o Dirsync e o AADSync, pois esta nova ferramenta é muito completa e simples facilitando o acesso aos configurações, alterações e log das operações.
Novo ebook Gratuito Sobre Data Protection Manager (DPM) 25 junho 2015 msincic Data Protection Manager, Windows Azure, Microsoft Azure, System Center A Microsoft divulgou semana passada um interessante livro para quem quer utilizar o Azure junto com o System Center Data Protection Manager como ferramenta de Backup. O livro trata dos conceitos basicos do DPM e se aprofunda na integração com o Microsoft Azure, alem de conceitos básicos de proteção de dados e outras plataformas. Para baixar o livro pode-se usar o link do blog em http://blogs.msdn.com/b/microsoft_press/archive/2015/06/15/free-ebook-microsoft-system-center-data-protection-for-the-hybrid-cloud.aspx Tambem é possivel ver todos os livros gratuitos da Microsoft em http://www.microsoftvirtualacademy.com/ebooks#9780735695832