Microsoft Defender for Cloud Secure Posture
Já em preview privado a algumas semanas, hoje a Microsoft liberou para o público (GA) as alterações do Defender for Cloud para a postura de segurança.
Porque renomear de Secure Score para Secure Posture?
Dizer que você está 100% seguro não quer dizer que realmente não corre risco, e dizer que você possui uma postura 100% segura não quer dizer que não tem vulnerabilidades.
Vamos usar como analogia um motorista e seu veiculo. Esse motorista é cuidadoso e tem todas as manutenções em dia. Ele dirige com prudencia e raramente cometeria uma infração. Porem quantas vezes já não vimos alguem perder o controle porque um pneu furou, um buraco ou deslizamento na pista, defeito no motor, quebra de roda ou eixo, falha no freio e até um mal estar súbito?
Ou seja, sua POSTURA DE SEGURANÇA indica que você segue as recomendações para evitar ter problemas conhecidos, mas um brecha de segurança de um sistema operacional, aplicativo ou device não é um item que você tem como prever, apenas remediar…
Então renomear o “Secure Score” para “Secure Posture” mostra que você segue e tem os itens SOB O SEU CONTROLE remediados e controlados. Mas você ainda está sujeito aos problemas externos, vide os exemplo recenter de vulnerabilidades do iOS, Log4j, SolarWinds, Mikrotik, etc.
Agora o Secure Posture inclui AWS e GCP
Anteriormente já era possivel ingressar com contas AWS e GCP mas elas não refletiam no Score e nem permitiam aplicar as regras de compliance. Assim, era necessário que olhasse separadamente e extraisse dados em mais de uma plataformas para gerar um report de compliance único.
O que mudou é que o Secure Posture mostra todas as Clouds integradas e você verá isso ao entrar no Defender for Cloud a partir de hoje!
Quais as politicas e regras avaliadas?
Esse é um item bem interessante, pois as regras de compliance que você já aplicou ao Azure serão automaticamente duplicadas para representar a mesma postura de segurança no AWS.
Veja abaixo que os mesmos conjuntos de regras aplicadas nas subscrições Azure agora estão aplicadas e adaptadas ao AWS.
Porem é importante ressaltar que apenas de ser possivel exportar os relatórios de compliance não é possivel gerar os reports de auditoria (Audit reports). O motivo é que os relatórios de auditoria é baseado em regras de segurança do datacenter e não apenas do que é serviços, ou seja controle do provedor e do cliente. Por conta disso, cada provedor precisa ter seus próprios relatórios atestando a segurança lógica e física da infraestrutura.
Onboarding de contas AWS
Fazer o onboarding da conta AWS não é um processo trivial pois envolve criar um objeto no CloudWatch e configurar permissões. Mas fazer o processo pelo Azure é simples e ele possui o passo a passo do que deve ser feito e valida ao final.
Ao adicionar uma conta AWS será possivel escolher avaliar apenas a postura ou instalar automaticamente o Azure Arc nas VMs e capturar os logs com o Log Analytics.
Importante lembrar que você poderá usar as politicas e iniciativas do Azure agora no AWS, então os mesmos requisitos customizados que você possua será avaliado nos dois ambientes.
Conclusão
Para clientes com ambiente multicloud agora será possivel ter uma visualização unica da postura baseada nas regras customizadas ou regulamentares únicas.
Anuncio oficial: Security posture management and server protection for AWS and GCP are now generally available - Microsoft Tech Community
Azure Arc–Gerenciamento integrado Multi-cloud
O Azure Arc é um produto em preview que tem a função de padronizar e permitir utilizar recursos do Azure para gerenciamento de VMs e Clusters Kubernets hospedados em ambientes on-premisse ou outras clouds integrado.
https://azure.microsoft.com/en-us/services/azure-arc/
Habilitando o Serviço por Registrar os Componentes
O primeiro passo é acessar as subscrições onde irá hospedar os serviços do Arc.
Uma vez escolhida a subscrição, deve-se registrar os recursos de Hybrid como abaixo.
Em geral o recurso ADHybridHS já estará habilitado e tem a ver especificamente com a sincronização de AD, mas os recursos de Compute, Data e Network precisam ser habilitados antes de incluir recursos:
Registrando Computadores e Recursos
Ao criar o recurso do Arc, escolha uma subscrição e um Resource Group para servir de base e que futuramente após o Preview irá ter o débito (se existir) dos serviços.
Logo após habilitar clique no botão Adicionar do primeiro print deste artigo e baixe o script para executar nos servidores. Caso queira abrir o script ele é bem simples e basicamente faz o download de um msi e o executa com os dados da subscrição.
A primeira execução do script mostra a obrigatoriedade de ativar os recursos, que foi o primeiro tópico desse artigo, e será um erro recorrente já que ao habilitar o Arc esse processo deveria ser automático.
Note que na execução do script ele gera um código que deverá ser confirmado no site indicado https://microsoft.com/devicelogin
Utilizando Politicas e Iniciativas
Assim que vinculados, já podem ser criadas e habilitadas as diferentes Politicas e iniciativas que serviriam para criar alertas e definir padronização de recursos no que geralmente chamamos de Compliance.
Por default as politicas acima são configuradas, mas é possivel criar novas para gerar reports de compliance. Para isso utilize as regras pré-existentes que irão facilitar diversos tipos diferentes de alertas como backup, antivirus, ASR, etc.
Já para as Iniciativas não estamos apenas verificando, mas implementando alguns tipos de padrões como o nivel de auditoria ou requisitos legais/padrões regulatórios:
Habilitando o Log Analytics
Para que os recursos funcionem corretamente é importante o auxilio do Log Analytics que irá capturar os dados do servidor para gerar alertas e mapas de relacionamento.
Para isso acesse os servidores e clique no aviso na tarja que é exibida e com isso poderá habilitar os recursos para cada servidor ou em Insights. Uma caracteristica interessante é que cada servidor pode utilizar subscrições diferentes ou até workspaces diferentes de Log Analytics.
A partir da integração que irá demorar de 5 a 10 minutos, já é possivel usar os monitores, alertas e até o mapa de relacionamento:
CONCLUSÃO
Em comporações com servidores fisicos, servidores virtuais e maquinas em clous ter a facilidade de integrar as funções de gerenciamento do Azure irá ajudar muito.
Grande parte do trabalho já é possivel no Log Analytics mas de forma passiva. Com a integração simples com as politicas, iniciativas e interface o uso do Azure Arc irá ser uma ferramenta excelente para profissionais de TI com ambientes multiplos de hospedagem.
Microsoft Advanced Thread Analytics (ATA)
Muitos clientes que visito não fazem ideia do que é o ATA, mesmo possuindo ele no licenciamento EMS (Enterprise Mobility + Security). https://www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics
Entendendo o ATA
Para entender melhor o que é o ATA precisamos relembrar o que são produtos de segurança comportamentais (http://www.marcelosincic.com.br/post/Windows-Defender-ATP-Entenda-o-Novo-Produto.aspx).
Esse tipo de produto não se baseia em um código malicioso que é baixado a partir de um DAT com informações do código que será executado (assinatura de virus).
Nos serviços de segurança comportamental você analisa tendencias, usos comuns e atividades suspeitas, como por exemplo um usuário que nunca se logou em um servidor agora é administrador e acessa diversas maquinas.
O ATA conta com o expertise da Microsoft, empresa que criou o Active Directory, e baseia sua IA base nas informações de comportamento de bilhões de usuários ativos globalmente em seus sistemas.
Essa base de conhecimento aplicada ao ambiente corporativo é capaz de detectar tendências incomuns de usuários e proteger contra ameaças antes delas ocorrerem.
Instalando o ATA
A instalação é muito simples, pois a comunicação online é realizada diretamente com uma URL do Azure que recebe e processa com Machine Learning os dados de logs de segurança recebidos.
Para instalar basta executar o instalador que é bem simples e intuitivo. Após instalar o servidor, podemos instalar o Gateway que é o servidor Domain Controller que será analisado coletando os logs de segurança.
Uma vez instalado a administração é bem simples e é possivel avançar nas configurações informando por exemplo o SID de um usuário para servir de diagnostico de invasão, um range de IP de maquinas vulneráveis (em DMZ por exemplo) e outros recursos.
Uma vez instalado a manutenção dele é automática tanto do servidor quando dos gateways que são monitorados.
Verificando Issues de Segurança do AD
Após alguns dias já é possivel ver no painel alguns alertas, por exemplo abaixo o aviso de que alguns computadores estão usando nivel de criptografia vulnerável:
Esse outro exemplo um caso de execução remota de comandos e scripts por parte de um servidor remoto. Claro que nesse caso eu irei encerrar o aviso, uma vez que é uma atitude esperada pois tenho o projeto Honolulu na mesma maquina que executa comandos WMI:
Veja que nos dois casos eu consigo saber o que aconteceu, quem foi o usuário e em que servidor/desktop a atividade suspeita ocorreu.
Alem disso, o histórico de detecções nos ajuda a entender se este é um chamado real ou apenas uma atividade especifica.
Recebendo Alertas e Relatórios
O ATA permite que configure o recebimento dos alertas e dos reports com os dados.
Posso executar reports standalone:
Ou agendar para receber por email todos os dias, assim como os alertas:
Como adquirir o ATA
Essa é a pergunta que muitos fazem, mas é importante lembrar que como um produto online, ele pode ser adquirido por quem tem o Microsoft 365 com Security (novo EMS, o antigo EMS ou então adquirido individual.
Lembrando que como se trata de um produto vinculado ao O365, a aquisição é por usuário, mesmo que standalone.
System Center Advisor Preview–Novidades
Já por alguns anos estamos assistindo sobre o System Center Advisor, desde que seu nome era Atlanta:
Agora temos uma nova fase deste produto que mostra a evolução da monitoração de serviços e servidores utilizando Cloud Computing. No TechEd deste ano em Houston o time de produtos anunciou o Preview da nova versão, que irei detalhar aqui após os testes Beta. A tabela no próprio site mostra a evolução de recursos:
Ativação e Custo
Até o momento como Preview, o SCA continua como um produto gratuito, bastando utilizar um Microsoft Account (antigo Passport) para ativar a conta.
Para os clientes que já tinham o SCA integrado com o SCOM, o update do agente é realizado automaticamente.
Caso não conheça, veja instruções nos artigos acima para ativação e integração com o SCOM.
Nova Interface
A interface do SCA Preview é muito similar ao Preview do Microsoft Azure e mostra a tendencia dos novos produtos em termos de design, sendo que ao abrir a Home temos uma interface baseada em webparts, com um resumo de todos os Intelligence Packs ativos e a situação resumida de cada item:
Intelligence Packs
Os Intelligence Packs são pacotes de monitoração que podem ser adicionados na conta, como adicionais ao “Configuration Assessment” que já existe na versão atual. Lembrando que os Intelligence Packs ainda não tem a definição do custo de ativação.
Para acrescentar novos Intelligence Packs ou remover os já ativos utilizamos o botão +/- no canto superior direito da tela e teremos a lista dos Intelligence Packs disponíveis para ativação, com alguns ainda não disponiveis e com o tempo novos serão acrescentados:
Como exemplo, ativei o Intelligence Pack de “Gerenciamento de Log’'”
Ao ativar um Intelligence Pack este aparece na Home com a instrução de que precisa ser configura se necessário. No caso do “Gerenciamento de Log” realizei a configuração por incluir o nome do log do Windows que seria adicionado e o filtro de eventos, se desejado:
No dia seguinte, depois de ativar a monitoração por algumas horas já temos os dados disponiveis, como a Home no inicio deste artigo. Ao cliente am “Log Management” podemos ver os detalhes de dados e utilizar as Queries para acessar os dados do Log detalhado como a segunda imagem abaixo onde podemos ver o tipo de evento mais comum em um determinado log:
Outro Intelligence Pack adicionado que traz um retorno valioso é o “Antimalware” que analise eventuais falhas de segurança, updates não aplicados e até virus/trojans conhecidos:
Para as funções já existentes no Advisor, houve melhoras substanciais como podemos ver no resumo abaixo, onde temos alem dos mais de 300 alertas disponiveis agora temos as recomendações baseadas em KBs e a análise de workloads, por tipo de produto como pode ser visto abaixo no resumo de configuração e detalhamento dos alertas:
Conclusão
O System Center Advisor agora é maduro e com certeza receberá grandes inclusões de recurso com o lançamento do produto final.
Para quem já tem a conta, basta ativar o Preview em https://preview.systemcenteradvisor.com e se utiliza integrado ao SCOM automaticamente terá os novos recursos sendo monitorados com a ativação dos Intelligence Packs.
Integrando o SCOM ao System Center Advisor
O System Center Advisor é uma ferramenta muito boa para monitoração de ambientes, pois possui regras dinâmicas e totalmente gratuito. Para quem ainda não o conhece ou deseja saber detalhes, seguem os links abaixo:
Como integrar o System Center Advisor com o Operations Manager?
O SCOM permite monitorar todo o ambiente, desde equipamentos cameras de video (com SNMP) até mainframe (com management packs), mas suas regras são baseadas em comportamentos pré-selecionados, muitas vezes reativo.
Por outro lado, o Advisor é baseado em Best Practices com pouco mais de 350 regras intuitivas e preventivas.
Juntar os recursos dos dois produtos é o desejado e simples de ser feito. O primeiro passo é a partir do console do SCOM "Administration –> System Center Advisor –> Advisor Connector” e passar os dados de sua conta no Advisor:
A partir do seu login, o SCOM irá pedir para selecionar a sua conta no Advisor, já que é possivel possuir multiplas:
O passo seguinte é selecionar os servidores que serão monitorados pelo Advisor em conjunto com o SCOM:
Após a integração, no console do Advisor será possivel ver que o SCOM está integrado na aba Servers:
Como Visualizar os dados do Advisor no SCOM?
Esta visualização é automática, pois o Advisor irá criar views e status para o SCOM, com duas views principais.
A primeira view que poderá ser visualizada são os estados de agentes integrados:
E a segunda view permite visualizar os alertas gerados pelo Advisor e importados pelo SCOM:
Concluindo, juntar os dois produtos é simples e funcional, sem gerar custos.
Se você já possui o SCOM, integre o System Center Advisor e aproveite das funcionalidades conjuntas destes dois produtos!