MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

Adoção Assistida do Office 365 e Azure com o FastTrack

Ao convertermos novos clientes que tinham produtos on-premisse para produtos on-line sempre temos o impacto inicial da migração.

Se o cliente comprou na modalidade CSP (Cloud Solution Provider) a configuração inicial é toda realizada pelo parceiro e a migração dos dados em geral tambem já é incluida como um serviço. Afinal, é importante lembrar que no modo CSP quem detem a conta é o parceiro pois é um modelo gerenciado.

Já no modelo de Licensing Partners, seja com contrato MPSA ou Enterprise Agreement (EA) o dono da conta e do tenant é o próprio cliente. Isso quer dizer que cabe ao cliente criar a tenant, habilitar os serviços, configurar e migrar os dados.

Como fazer o kickoff do Office 365 sem “dores” e com a melhor estrutura?

A resposta obvia seria contratar um parceiro de serviços Microsoft especializado em Office 365 que fará todo o processo, mas muitas vezes não é o que será feito.

Nestes casos, é possivel acionar o FastTrack.

O que é o Microsoft FastTrack?

Em termos básicos o FastTrack é um site contento todo um repertório de ferramentas para quem já tem ou adquiriu Office 365 em contrato direto (MPSA ou EA).

https://fasttrack.microsoft.com 

Ao entrar no site poderá iniciar vendo um Dashboard do seu estado atual como abaixo:

image

Note que logo na primeira parte vemos o nome do meu tenant de testes, os dados incluindo algumas informações da empresa e o gerente do FastTrack, Engenheiro e Arquiteto. Quem são essas figuras?

Alguns clientes, principalmente na adoção possuem o beneficio de engajar um time da MS para ajudar no planejamento e execução da migração.

Isso não quer fizer que irão executar, mas sim orientar e apoiar no processo de criação do tenant, integração do AD (AADSYNC), configuração dos serviços e o processo de migração em sí.

Para saber se você é elegivel, veja “Ofertas” e “Serviços”:

image

image

O primeiro item “Ofertas” não são migrações e sim documentação gerada para compliance e arquivamento.

Já o item “Serviços” é onde poderá solicitar que a Microsoft engaje o time para executar as funções desejadas.

Note que não apenas Office 365, mas tambem Planning de deploy de Windows (neste caso é necessário ter voucher de Planning Services) e um parceiro para ajudar com Windows 10 se ainda não migrou.

Tambem temos a opção de Azure, mas ela só é disponivel para alguns paises e o cliente precisa consumir no minimo U$ 5000 mês.

Em qualquer dos casos, a Microsoft envia um email com mais informações para você e iniciará o processo conforme o tipo de solicitação.

E se já tenho o tenant e utilizo, que valor tenho no FastTrack?

Mesmo assim é interessante. Acesse o link https://myadvisor.fasttrack.microsoft.com

Esse site tem uma lista de recursos onde você poderá baixar apresentações, guias, modelos de emails e videos educativos.

A unica restrição é que todo o conteudo está em inglês  Sad smile 

De qualquer forma, ferramentas como o “Network Planner” para validar necessidade de link é importantissimo para o primeiro momento.

Tambem podemos destacar os videos e documentos onde podemos aprender mais sobre os recursos e o passo-a-passo de uma estória de sucesso!

Desenho de Cenários (Planos de Sucesso)

Uma opção bem interessante é a criação dos Planos de Sucesso que pode ser visto na primeira tela deste post.

Ao criar um plano e escolher o produto, será guiado a um checklist completo onde poderá escolher o que irá fazer e o site irá ajudar a trilhar o caminho correto.

Uma ajuda muito útil quando estamos fazendo a implementação e não queremos deixar algo passar!

image

image

E um recurso interessante é que você poderá acessar videos para ajudar na adoção do produto desejado pelos usuários finais.

image

Conclusão

Se está implantado, já tem funcionando apenas com alguns produtos ou está evoluindo o ambiente, o FastTrack irá ser uma ajuda enorme para o sucesso!

Posted: jul 17 2018, 23:01 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Azure Log Insights–Service Map

Muitos já conhecem o Log Insights que antes era chamado de Operations Management Suite.

Nesse post vou destacar um dos muitos plug-ins de solução do Log Insights (chamados de Solutions no portal) que é o Service MAP

NECESSIDADE

Migrar um Datacenter não se resume a levar servidores de um lado para outro, muitas vezes é necessário migrar ambientes por perfil de aplicações.

O objetivo nestes casos é saber quais servidores devem ser migrados juntos para não ter problemas de comunicação tanto entre a mesma aplicação como tambem entre o serviço e os clientes.

O problema muitas vezes é conseguir mapear isso, pois poucas empresas possuem um mapa de aplicaçoes onde conste os servidores e serviços utilizados em cada aplicação, principalmente aplicações Web e Bancos de Dados.

SOLUÇÃO

A Solution Service Map do Log Insights resolve este problema!

Ela mapeia todas as comunicações que são realizadas com os servidores com o agente instalado e monta um mapa completo do uso detalhando portas, nomes, serviços e permitindo drill-down para visualizar as conexões e um painel de detalhes para cada item selecionado.

Segue abaixo alguns prints que utilizo para demonstrar o recurso:

capture20180405193706451

Visualização dos serviços em um dos servidores e detalhes do servidor selecionado. Note que do lado esquerdo é possivel ver a barra de detalhes do servidor mapeado a partir de outros Solutions ativos em seu Log Insights.

capture20180405193730890

Detalhes de um dos servidores que se comunica com o host, com detalhes da comunicação e do servidor.

capture20180405193826648

Ao abrir o servidor selecionado na tela anterior posso ver os detalhes dele, incluindo agora os desktops e outros servidores que tambem utilizam o target selecionado.

capture20180405193906565

Visualizando os detalhes de comunicação entre o servidor target e o servidro com SQL Server onde podemos ver as comunicações do SQL para autenticação, já que o target é meu Domain Controller.

Grupo

Aqui podemos visualizar no conceito de grupos onde os servidores que inclui o grupo são mapeados e pode ser utilizado para criar os mapas de determinada aplicação.

Baseado no gráfico acima, consigo visualizar que o host T110 possui duas VMs principais que se comunicam com todos os clientes e entre eles constantemente.

Se for criar um plano de migração do meu ambiente já saberia que elas são as duas principais VMs que precisam ser ativadas juntas na migração.

UTILIZANDO O SERVICE MAP

Para utilizar o Service Map você obviamente deve ter uma conta Log Analytics já habilitada e incluir a Solution.

O levantamento dos dados não é realizado pelo agente normal do Log Insigths, é necessário baixar um agente especifico que pode ser encontrado no link abaixo:

https://docs.microsoft.com/en-us/azure/monitoring/monitoring-service-map-configure

Logo após instalar o agente do Service Map já será possivel visualizar os mapas e utilizar grupos.

Importante: O Service Map só mantem dados de 1 hora no máximo, portanto é um portal para visualização imediata já que não possui histórico nem relatórios analíticos.

Referencia completa: https://docs.microsoft.com/en-us/azure/monitoring/monitoring-service-map

Posted: jul 03 2018, 15:14 by msincic | Comentários (0) RSS comment feed |
  • Currently 3/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Log Analytics | Azure | Azure OMS

Controlando Gastos no Azure com Cloudyn

Muito foi falado da compra da Cloudyn pela Microsoft e como isso seria integrado no gerenciamento de custos do Azure.

A verdade é que antes do Cloudyn o Azure possuia poucas ferramentas boas para gerenciar custos, que envolvam:

  • Detalhamento dos custos me periodos pré-definididos (dia, semana, mes, ano, etc)
  • Comparativo entre custos e budget planejado
  • Maiores custos
  • Objetos “orfãos” ou expirados
  • Outros…

Era possivel usar o Power BI mas exigia um conhecimento bem profundo da camada de dados que o Azure exportava, deixando a maioria dos clientes sem um bom suporte.

Pensando nisso, ao comprar o Cloudyn a Microsoft disponibilizou a ferramenta de forma gratuita (algumas features adicionais são pagas) que cumpre estas tarefas e com vários reports adicionais e práticos.

Instalando e Configurando o Cloudyn

A instalação nada mais é do que uma aplicação que existe no Marketplace do Azure, com o nome de Cost Management, mas se procurar como Cloudyn tambem irá aparecer:

capture20180306180552915

capture20180306180627270

Insira os dados para notificação e o modelo de negócios que vc utiliza, em geral serão os dois primeiros (EA ou CSP). No caso de individual é para quem utiliza OPEN, Cartão de Crédito ou assinaturas MSDN como é o meu caso:

capture20180306180730866

Na tela seguinte irão ser solicitados dados para encontrar as assinaturas, no meu caso a oferta de MSDN e meu tenant do Azure, que pode ser encontrado no portal em Subscriptions:

capture20180306180850256

A partir dai o Cloudyn já encontra todas as subscriptions associadas ao seu usuário e vincula as assinaturas:

capture20180306181608327

capture20180306181707726

Utilizando os Reports de Budget do Cloudyn

Importante: Os dados podem demorar de 3 a 4 dias para serem populados.

Os reports são o ponto alto da ferramenta, relatórios de custos analiticos com base em budget são excelentes.

capture20180306181748042

capture20180306181949093

Para que estes relatório funcionem é importante criar o budget na opção “Projection and Budget”:

capture20180306182422406

A partir dai já é possivel extrair os reports de Projetado x Utilizado, o que é a grande dor dos clientes Azure hoje.

Detalhando o Consumo e Otimizações

O Dashboard inicial do Cloudyn é didático e informativo por sí só:

capture20180312104401184

Em Asset Controller é possivel ver um resumo do que estamos tendo de recursos e a evolução destes recursos:

capture20180312104510959Um dos recursos mais importantes é em Optimizer onde podemos ver recursos orfãos ou superalocações, que são os hints (dicas) que o Cloudyn fornece de custos.

Veja que no meu caso, possui 2 discos que não estão vinculados a nenhuma VMs, ou seja pago o storage sem utilizar:

capture20180312104525928

Discos

Já navegando pelos menus e executando os relatórios temos um muito interessante que é Cost Navigator onde podemos ver diversos periodos e detalhar os custos no periodo:

capture20180312104621971

E principalmente, como comentado no tópico anterior, comparar o meu Budget com o Realizado:

capture20180312104736182

Alguns outros relatórios que não printei aqui são interessantes:

CONCLUSÃO

Vale a pena instalar e utilizar essa ferramenta, o custo dele no seu ambiente é infimo em relação a qualidade dos dados apresentados.

Importante lembrar que em muitos casos é importante utilizar as TAGs para separar recursos em grupos, caso seja necessário.

Porem, mesmo sem as TAGs é possivel utilizar filtros nos relatórios para alguns dados mais especificos.

Posted: mar 12 2018, 20:59 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Microsoft Advanced Thread Analytics (ATA)

Muitos clientes que visito não fazem ideia do que é o ATA, mesmo possuindo ele no licenciamento EMS (Enterprise Mobility + Security). https://www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics

Entendendo o ATA

Para entender melhor o que é o ATA precisamos relembrar o que são produtos de segurança comportamentais (http://www.marcelosincic.com.br/post/Windows-Defender-ATP-Entenda-o-Novo-Produto.aspx).

Esse tipo de produto não se baseia em um código malicioso que é baixado a partir de um DAT com informações do código que será executado (assinatura de virus).

Nos serviços de segurança comportamental você analisa tendencias, usos comuns e atividades suspeitas, como por exemplo um usuário que nunca se logou em um servidor agora é administrador e acessa diversas maquinas.

O ATA conta com o expertise da Microsoft, empresa que criou o Active Directory, e baseia sua IA base nas informações de comportamento de bilhões de usuários ativos globalmente em seus sistemas.

Essa base de conhecimento aplicada ao ambiente corporativo é capaz de detectar tendências incomuns de usuários e proteger contra ameaças antes delas ocorrerem.

Instalando o ATA

A instalação é muito simples, pois a comunicação online é realizada diretamente com uma URL do Azure que recebe e processa com Machine Learning os dados de logs de segurança recebidos.

Para instalar basta executar o instalador que é bem simples e intuitivo. Após instalar o servidor, podemos instalar o Gateway que é o servidor Domain Controller que será analisado coletando os logs de segurança.

Uma vez instalado a administração é bem simples e é possivel avançar nas configurações informando por exemplo o SID de um usuário para servir de diagnostico de invasão, um range de IP de maquinas vulneráveis (em DMZ por exemplo) e outros recursos.

Uma vez instalado a manutenção dele é automática tanto do servidor quando dos gateways que são monitorados.

Verificando Issues de Segurança do AD

Após alguns dias já é possivel ver no painel alguns alertas, por exemplo abaixo o aviso de que alguns computadores estão usando nivel de criptografia vulnerável:

capture20170807171826449

capture20170807171926453

capture20170807171951836

capture20170807172020133

Esse outro exemplo um caso de execução remota de comandos e scripts por parte de um servidor remoto. Claro que nesse caso eu irei encerrar o aviso, uma vez que é uma atitude esperada pois tenho o projeto Honolulu na mesma maquina que executa comandos WMI:

image

capture20180226144405535

Veja que nos dois casos eu consigo saber o que aconteceu, quem foi o usuário e em que servidor/desktop a atividade suspeita ocorreu.

Alem disso, o histórico de detecções nos ajuda a entender se este é um chamado real ou apenas uma atividade especifica.

Recebendo Alertas e Relatórios

O ATA permite que configure o recebimento dos alertas e dos reports com os dados.

Posso executar reports standalone:

capture20170807172144683

Ou agendar para receber por email todos os dias, assim como os alertas:

capture20170807172207309

Como adquirir o ATA

Essa é a pergunta que muitos fazem, mas é importante lembrar que como um produto online, ele pode ser adquirido por quem tem o Microsoft 365 com Security (novo EMS, o antigo EMS ou então adquirido individual.

Lembrando que como se trata de um produto vinculado ao O365, a aquisição é por usuário, mesmo que standalone.

Posted: fev 26 2018, 18:30 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Introdução ao Azure Stack em Video aula

Segue a apresentação em video aula criada para o Business Partner, agora disponivel público:

Posted: fev 01 2018, 11:02 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login
Marcelo de Moraes Sincic | Utilizando o Azure Application Insigths na Analise de Vulnerabilidades
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

Utilizando o Azure Application Insigths na Analise de Vulnerabilidades

Uma das ferramentas que são criadas costumeiramente nas aplicações Web hospedadas, o Azure Application Insigths, é subutilizado pelos time de desenvolvimento, operações e segurança.

O que é possivel com o App Insights?

O App Inisgths captura log e executa tarefas para avaliar performance, estabilidade e estatísticas de uso de um web app.

Quando comparado a outras ferramentas comuns com o Google Analytics é importante lembrar que o App Insigths tambem funciona como um APM (App Performance Monitoring) detalhando funções e linhas de código como chamadas a banco de dados, que estão gerando lentidão.

Particularmente gostou muito de algumas funções Smart detection settings que são regras comuns para detecção de tendências ou problema, além de métricas e as Live Metrics como abaixo. Alias, veja que a página de contato já demonstra um ataque simulado na chamada da página de contato:

Performance

Metricas-1

Outra função interessante que utilizo com frequencia em projetos é Avaliabiliy onde podemos criar regras de teste com páginas especificas em diversas localidades do Azure para funcionar como o antigo Global Monitoring Service.

image

O foco neste post não é detalhar as funções de APM, mas sim o uso pelo time de segurança.

Como o App Insights é útil para Segurança?

Primeiro temos o Application Map de onde iniciamos as analises. Basicamente ele é um modelo simples de dependencias e comunicação de dentro e de fora, incluindo as analises de disponibilidade que mostramos anterioremente.

Application Map

Mas ao retirar o WAF para gerar os logs e demonstrar nesse post, o resultado foi muito rápido como pode ser visto no diagrama abaixo.

Veja que os dois endereços na parte inferior são fontes desconhecidas e poderiam ser ataques, enquanto também se vê claramente os rastreadores e robôs do Google e outro site, mas estes não seriam o problema.

Ataque-1

Ao pedir acima os detalhes de pacotes e comunicação trocada com o meu blog com este endereço é possivel ver o que eles tentaram e quantas vezes.

Ataque-2

O passo seguinte é clicarmos em Samples ou na lista do lado direito para analisar as queries que foram recebidas.

Como pode ser visto abaixo, é possivel identificar de onde e como o acesso foi realizado por esse dominio que estava analisando os detalhes.

Ataque-3

Mas vamos deixar rodando por mais tempo com o WAF desativado e veremos com um histórico detalhadas.

Validando ataques reais

Agora com mas tempo exposto (como gostamos de correr risco Smile) o meu blog pôde ter mais dados para serem demonstrados.

Vamos abrindo em detalhes os itens no mapa onde demonstraram as estatisticas de falhas ocoridas.

Na primeira tela de detalhes vemos que só de falhas nas ultimas 24 horas eu recebi mais de 11 mil chamadas!!!

Failures-1

Mas a alegria se transforma em tristeza, ou melhor preocupação, essas 11290 chamadas na verdade fazem parte de um ataque orquestrado por força bruta…

Failures-2

Agora vamos começar a entender melhor o que estão tentando fazer no meu blog. Para isso vamos fazer uma “caminhada” pelos dados do App Insigths.

Do lado esquerdo já podemos ver que os ataques se deram por tentar enviar parametros e listas diretamente nas páginas do blog.

Failures-3

Abrindo mais detalhes consigo descobrir que a fonte do ataque são PCs na China usando um SDK especifico. Em alguns casos é possivel ver tambem o IP e com isso criar uma lista de bloqueio ou potenciais atacantes.

Failures-4

Segue um outro exemplo mais recente que teve quase a mesma origem (outra cidade chinesa), mas com detalhes de sofisticação onde foi utilizado um script e não apenas um SQL Injection:

Failures-4a

Continuando a caminhada posso ver a sequencia que o “usuário” utilizou no meu site, vejam que a lista de tentativas foi grande, e muitas vezes na mesma página:

Failures-5

O ataque na tela acima é um SQL Injection muito comum de ser utilizado em sites web por atacantes. Veja detalhes em CAPEC - CAPEC-66: SQL Injection (Version 3.5) (mitre.org)

O que fazer ao detectar um ataque ao site site ou aplicação?

Em geral os Web Application Firewall seguram boa parte dos ataques que vimos acontecer no meu blog em 24 horas, tanto que eu não fazia ideia antes que poderiam chegar a quase 12 mil em apenas 24 horas.

Mas mesmo que tenha um WAF é importante que monitore constantemente o numero de falhas em páginas para identificar se é um problema de aplicação ou um ataque que está tentando encontrar as vulnerabilidades, como os exemplos acima do meu site.

Outra importante ação é ajudar os desenvolvedores e não aceitar comandos diretamente do POST e muito menos concatenar cadeias de caracteres  dentro de parâmetros e comandos internos.

Utilize tambem uma biblioteca de desenvolvimento robusta, por exemplo no meu teste de exposição não tive o blog invadido pois o próprio .NET já possui filtros para evitar comandos enviados diretamente no POST ou URL.

Como um recurso mais sofisticado para ataques direcionados, veja a opção Create Work Items onde poderá criar automações, por exemplo barrar um determinado serviço ou até derrubar um servidor quando detectar uma anomalia muito grande!

Relembrando que o App Insights se integra ao Log Analytics para consultas e ao Sentinel para segurança inteligente de Threats!!!!

Conclusão

Se não conhece, não tem habilitado ou não utiliza o App Insights comece agora!

Não o limite a analises de performance e sessões, aprenda a ler também os indícios de falhas de segurança antes que uma invasão ocorra.

Posted: set 09 2021, 01:28 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Comentar

Login