Lançamento do System Center 2022–Ainda Vale a Pena? Será descontinuado?
A primeira vez que recebi o premio de MVP foi na categoria System Center, que depois alterou para Cloud and Datacenter Management (CDM).
Com o crescimento exponencial das clouds publicas os ambientes on-premises passaram a ser integrados também aos recursos disponíveis em cloud publica e/ou migrados.
Então recebo constantemente a pergunta “O System Center vai morrer?” e até afirmações “System Center foi descontinuado”.
Com o lançamento do System Center 2022 em 1o de Abril voltamos estas perguntas https://cloudblogs.microsoft.com/windowsserver/2022/04/01/system-center-2022-is-now-generally-available?WT.mc_id=AZ-MVP-4029139
Sendo assim vamos a algumas questões e usarei uma apresentação que fiz no MVPConf.
O que levou a essas conclusões?
- Atualizações semestrais foram descontinuadas (1801, 1909, etc), as atualizações seguiram o modelo anterior de Update Rollups a cada 12 a 18 meses e novas versões a cada 3 ou 4 anos
- Configuration Manager teve sua ultima versão 2012 R2 como a ultima que fazia parte da suíte System Center e passou a ser Enpoint Manager na familia do Intune
- Service Manager teve um comunicado do time de produtos em 2018 onde afirmavam que o produto não seria descontinuado
- Operations Manager não tinha uma integração com o Azure Monitor
- Virtual Machine Manager não dava suporte a recursos novos do Hyper-V e suporte limitado ao Azure
- Orchestrator com poucos pacotes de integração para 3rd partners
Configuration e Endpoint Data Protection Manager
- Foi deslocado da família System Center para a família Endpoint Management
- Integração com Intune e novos recursos do Azure como Analytics (Log e Desktop)
- Possibilidade de utilizar roles diretamente na web (CMG)
- Licenciamento foi integrado nas licenças de Microsoft 365, Enterprise Mobility Suite (EMS), Intune add-on e CoreCal Bridge
Conclusão: O produto não foi descontinuado nem se tornou uma nova família para se “desprender”, e sim um reposicionamento para o time de gerenciamento de Windows.
Operations Manager
- Os Management Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc)
- Foi disponibilizado um Management Pack para Azure que permite fazer toda a monitoração e dashboards, recebeu integração com o Log Analytics, que alimenta os dados para uso no Azure Monitor
- Reduz custos e tem melhor performance nos alertas para servidores on-premisse, quando o ambiente é integrado com o Azure Monitor
- Projeto Aquila permitirá usar o SCOM como SaaS (fonte: ZDNET e Directions)
Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados.
Virtual Machine Manager
- Está sendo atualizado com os recursos novos do Windows 2019, mas o timeline entre novos recursos do Windows e a inclusão seguem os Update Rollups, de 12 a 18 meses
- Ainda é muito importante por conta de recursos em Cluster de Hyper-V e monitoração para quem utiliza
- Windows Admin Center vem incluindo diversos dos recursos que o VMM possui, mas os wizards do VMM são superiores
Conclusão: Para grandes Clusters o VMM é indispensável, mas para gerenciamento de servidores Hyper-V segregados o Admin Center é uma boa opção.
Data Protection Manager
- Manteve as características principais de backup apenas de produtos Microsoft on-premisse (SQL, Hyper-V, Exchange, etc) e VMWare. Não tem previsão de inclusão para produtos de terceiros
- Não suporta serviços do Azure, cada serviço do Azure possui ferramentas próprias de backup. Aceita agentes em Azure VMs, porem deve-se levar em conta custo de download
- Possui a versão gratuita Microsoft Azure Recovery System (MARS) que é um subset do DPM sem suporte a fitas
Conclusão: Para ambientes Microsoft on-premisse ou Azure VMs para discos locais ou fitas ainda é importante, mas ambientes Azure utilizar os recursos nativos de cada serviço.
Service Manager
- Portal de autoatendimento agora em HTML 5
- Suporta integração com BMC, ServiceNow e outros, mas alguns conectores são pagos (3rd SW)
- Manteve-se fiel ao modelo ITIL v3
- A construção de workflows foi melhorada incluindo uma interface mais amigável e mais recursos de integração com o Orchestrator
Conclusão: É uma ferramenta da suíte que recebeu poucos avanços e manteve sua dependência do Orchestrator, que torna mais complexa a administração. Mas como faz parte da suíte é financeiramente justificável no conjunto.
Orchestrator
- Os Integration Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc)
- Integration Packs de 3rd SW nem todos possuem atualizações, na maioria são pagos
- Agora suportando PowerShell v4 permite que se crie novas funcionalidades por código, o que remove as limitações dos Integration Packs
Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados.
Alternativas ao System Center
Com os avanços das ferramentas integradas como Hybrid usando Azure Arc e Azure Automation, você poderá estender os mesmos recursos nos servidores on-premises equivalentes ao System Center.
Microsoft Defender for Cloud Secure Posture
Já em preview privado a algumas semanas, hoje a Microsoft liberou para o público (GA) as alterações do Defender for Cloud para a postura de segurança.
Porque renomear de Secure Score para Secure Posture?
Dizer que você está 100% seguro não quer dizer que realmente não corre risco, e dizer que você possui uma postura 100% segura não quer dizer que não tem vulnerabilidades.
Vamos usar como analogia um motorista e seu veiculo. Esse motorista é cuidadoso e tem todas as manutenções em dia. Ele dirige com prudencia e raramente cometeria uma infração. Porem quantas vezes já não vimos alguem perder o controle porque um pneu furou, um buraco ou deslizamento na pista, defeito no motor, quebra de roda ou eixo, falha no freio e até um mal estar súbito?
Ou seja, sua POSTURA DE SEGURANÇA indica que você segue as recomendações para evitar ter problemas conhecidos, mas um brecha de segurança de um sistema operacional, aplicativo ou device não é um item que você tem como prever, apenas remediar…
Então renomear o “Secure Score” para “Secure Posture” mostra que você segue e tem os itens SOB O SEU CONTROLE remediados e controlados. Mas você ainda está sujeito aos problemas externos, vide os exemplo recenter de vulnerabilidades do iOS, Log4j, SolarWinds, Mikrotik, etc.
Agora o Secure Posture inclui AWS e GCP
Anteriormente já era possivel ingressar com contas AWS e GCP mas elas não refletiam no Score e nem permitiam aplicar as regras de compliance. Assim, era necessário que olhasse separadamente e extraisse dados em mais de uma plataformas para gerar um report de compliance único.
O que mudou é que o Secure Posture mostra todas as Clouds integradas e você verá isso ao entrar no Defender for Cloud a partir de hoje!
Quais as politicas e regras avaliadas?
Esse é um item bem interessante, pois as regras de compliance que você já aplicou ao Azure serão automaticamente duplicadas para representar a mesma postura de segurança no AWS.
Veja abaixo que os mesmos conjuntos de regras aplicadas nas subscrições Azure agora estão aplicadas e adaptadas ao AWS.
Porem é importante ressaltar que apenas de ser possivel exportar os relatórios de compliance não é possivel gerar os reports de auditoria (Audit reports). O motivo é que os relatórios de auditoria é baseado em regras de segurança do datacenter e não apenas do que é serviços, ou seja controle do provedor e do cliente. Por conta disso, cada provedor precisa ter seus próprios relatórios atestando a segurança lógica e física da infraestrutura.
Onboarding de contas AWS
Fazer o onboarding da conta AWS não é um processo trivial pois envolve criar um objeto no CloudWatch e configurar permissões. Mas fazer o processo pelo Azure é simples e ele possui o passo a passo do que deve ser feito e valida ao final.
Ao adicionar uma conta AWS será possivel escolher avaliar apenas a postura ou instalar automaticamente o Azure Arc nas VMs e capturar os logs com o Log Analytics.
Importante lembrar que você poderá usar as politicas e iniciativas do Azure agora no AWS, então os mesmos requisitos customizados que você possua será avaliado nos dois ambientes.
Conclusão
Para clientes com ambiente multicloud agora será possivel ter uma visualização unica da postura baseada nas regras customizadas ou regulamentares únicas.
Anuncio oficial: Security posture management and server protection for AWS and GCP are now generally available - Microsoft Tech Community
Azure Sentinel–MITRE Coverage
Outra feature que estava em private preview para MVPs e parceiros e agora se tornou público é o recurso de mapeamento dos alertas e huntng queries do Sentinel com a matriz de cobertura do MITRE.
Esse recurso não gera um custo já que ele é um dashboard que demonstra a matriz ao inves da lista de itens.
Como MITRE é mapeado atualmente
Hoje os alertas e hunting queries já trazem as técnicas MITRE que estão sendo abordadas como mostra a imagem abaixo:
Podemos observar que as táticas e técnicas já são mapeadas tanto no cabeçalho quando em cada um dos itens de pesquisa ativa do Sentinel.
Mas esses dados estão desestruturados e é necessário clicar para fazer um filtro das vulnerabilidades com o mapa de cobertura do MITRE, muito usado hoje.
Como o MITRE será mapeado agora com o Preview
Os mesmos dados da consulta acima, agora podem ser visto diretamente no mapa de cobertura MITRE:
Com esse mapa ficará muito mais fácil categorizar os diferentes tipos de vulnerabilidades que preciso me proteger já que ele me traz a possibilidade nos detalhes de abrir as queries que geraram os diferentes pontos de atenção!
Alem disso, tambem é possivel com a opção Simulated mapear quantos diferentes tipos de vulnerabilidades eu tenho cobertura, mesmo que não tenha resultado na query hoje.
Esse efeito de simulação é muito interessante pois me permite saber se o Sentinel tem o necessário para cobrir todos os pontos que me interessam e me permitirá ter uma visão gerencial incluindo as hunting queries que eu mesmo crie.
Anuncio do Public Preview: What’s Next in Microsoft Sentinel? - Microsoft Tech Community e documentação View MITRE coverage for your organization from Microsoft Sentinel | Microsoft Docs
Azure Sentinel–Log Search & Restore Preview
Um dos programas que a Microsoft disponibiliza a MVPs e parceiros é participar de previews privados para funcionalidades de Cloud Security.
Um destes recursos liberados para Public Preview recentemente foi o Log Search and Restore onde pode-se estender o tempo de log do Analytics alem de utilizar o próprio Sentinel para ler os dados destes logs armazenados.
Limitação Atual
Na versão GA o Sentinel guarda os logs por até 2 anos, sendo que pela interface visual é possivel configurar 90 dias e via PowerShell para até 755 dias.
Alem disso, ao configurar para 2 anos o log acaba gerando um custo mais alto por estar vinculado ao preço de armazenamento do Log Analytics que é por Giga.
Novos Limites e Custo
Neste Preview o log agora poderá ser guardado por 7 anos (2520 dias) alem de ter um custo menor que será divulgado no GA, porem muito menor que o atual.
Assim como no GA atual, a alteração pode ser feita via PowerShell para os 7 anos.
Mas para ajudar, vc pode usar o aplicativo disponibilizado no GitHub onde poderá escolher as tabelas e o tempo de arquivo para operação. Ou seja você pode colocar a tabela de alertas por 5 anos e a tabela de incidentes por 2 anos.
Link para o aplicativo de configuração: Azure-Sentinel/Tools/Archive-Log-Tool/ArchiveLogsTool-PowerShell at master · Azure/Azure-Sentinel · GitHub
Usando o Recurso
Vou demonstrar com prints abaixo do meu Preview como fiz o processo de Restore, Search e o resultado final.
Executando um Restore com o nome da tabela que desejo, a data inicial e final:
Na sequencia executei uma consulta abordando o tempo que configurei do Restore da tabela SecurityEvents com o nome do meu servidor:
Por fim, o resultado é uma nova Custom Table no Log Analytics com o nome indicado acima e os mais de 3 anos de eventos restaurados!!!
Anuncio do Preview: What's New: Search, Basic Ingestion, Archive, and Data Restoration are Now in Public Preview - Microsoft Tech Community
MITRE–Comparação entre EDRs
Um dos itens mais importantes nos últimos anos é a capacidade dos antivírus tradicionais versus os antivírus de nova geração (NGAV) alem de ferramentas com essas capacidades como o ATA e o ATP Marcelo de Moraes Sincic | Buscar por 'comportamental' (marcelosincic.com.br)
Com a evolução destes produtos o termo EDR se tornou muito comum e novas denominações como XDR (Extended Detection and Response) para definir estes produtos que usam inteligência artificial baseada em SaaS.
Como Avaliar um EDR?
Essa é a pergunta que muitos agora fazem, antes utilizávamos métodos de detecção de virus com um pendrive cheio de malwares, mas agora com o EDR e XDR estes testes baseados em assinatura de código (DAT) não são suficientes.
Para avaliar as capacidades, o MITRE, muito conhecido pela base de conhecimento MITRE ATT&CK® criou uma série de testes que as empresas de segurança executam e publicam os resultados dos seus EDRs.
Quanto maior o numero de passos detectados, melhor será a visibilidade do ataque que foi deflagrado.
Como Acessar e Ler o Ranking do MITRE ENGENUITY | ATT&CK Evaluations?
Acesse o site ATT&CK® EVALUATIONS (mitre-engenuity.org) e poderá ter um overview do processo, onde verá que já existem 3 diferentes “rounds”:
- APT3 – Ataques que foram detectados e atribuídos ao governo chinês, baseado em roubo de identidade, movimentação lateral com scripts, rootkits e bootkits
- APT29 – Ataques que foram detectados desde 2008 pelo governo russo baseados em PowerShell e WMI
- Carbanak+FIN7 – Hoje um dos mais especializados, visam instituições financeiras utilizando os mais diversos tipos de ataques com sofisticação suficiente para se passarem por ferramentas administrativas dos SOs e até PDV
Uma vez entendendo os 3 diferentes conjuntos de teste, em geral avaliamos o Carbanak+FIN7 que é o mais sofisticado e atual.
Destaque para o comparativo entre os produtos, por exemplo se utilizarmos Microsoft x McAfee é possível saber as formas e técnicas em que cada um dos NGAV utilizaram para detectar os ataques.
Nessa comparação podemos ver o detalhamento do tipo de ataque e o nível de log que o EDR irá gerar, clicando no link [1] que o NGAV da Microsoft criou:
Já o detalhamento de cada fabricante indica um resumo da eficiência em detectar os passos e gerar os EDRs para cada conjunto de ataques submetidos:
O quadro acima mostra o numero de passos mínimo definido pelos algoritmos e quantas ações o EDR da Microsoft conseguiu identificar, o que representam passos antes e depois do ataque realizado.
Abaixo do quadro de resumo poderá ver o detalhamento dos ataques realizados com base na matriz do MITRE e ver por round a tática, técnica, sub técnica e passos que o EDR identificou. Ao clicar nas técnicas é possível ver os detalhes de cada item
Outro interessante dado disponível são os resultados dos testes, esse retorna o EDR gerado:
Como Reproduzir o Mesmo Ambiente Validado nos Testes?
Talvez você já possua um dos fabricantes que foram testados, mas não tem certeza se tem os pacotes e configurações corretas.
Afinal, é importante lembrar que os testes acima são conduzidos pelos fabricantes e submetidos para publicação, então sabemos que utilizaram um conjunto de ferramentas e configurações bem construídas.
Por conta disso, os fabricantes publicam um relatório que está disponível no mesmo site, por exemplo no caso de Microsoft vemos os produtos e configurações utilizadas:
