Detectar atividades suspeitas trabalha com o comportamento dos usuários.Esse comportamento não se limita ao DLP, mas abrange:
- Regras de Proteção de Dados do MPIP (antigo Microsoft Information Protection)
- Regras do MDE (Microsoft Defender Endpoint)
- Regras do MDfC (Microsot Defender for Cloud Apps, antigo CASB)
- Log de atividades do Office 365 e do Windows
Uma vez que eu capturo estes dados posso criar uma linha de tempo (baseline) para detectar:
- Comportamentos inesperados de uma pessoa em relação a sua própria atividade nos ultimos 30 a 90 dias
- Comportamento inesperado de uma entidade comparada ao baseline da empresa como um todo
Para isso são criados gatilhos que podem ser atividades como uma regra DLP, copia de arquivos em um pendrive, exfiltração via web, etc.
Apresentei todos estes recursos no webcast com a Thais Mafra. Assista e entenda melhor este recurso!
Um erro muito comum quando vejo as implementações de Sentinel em clientes é não executar as automações.
Para entender o problema, é interessante interligar com aplicações Power Platform como o Power Apps, onde o usuário precisa autorizar a conta do Office 365 para que o app execute. Isso é feito na primeira execução e o Power Apps ou Power Automate irá guardar o usuário da conexão.
O mesmo acontece com as automações do Sentinel, elas não estão necessariamente interligadas a uma Automation Account e com isso é necessário autenticar todas as conexões!
Como saber se tenho automações não autenticadas?
Abra o Sentinel e clique em Automações.
Ao abrir clique na opção que irá aparecer no topo da lista do lado direito “API Connections”.
Faça um filtro pelas automações que estão com erros.
Para as automações que estão com erro na conexão, abra suas propriedades e vá para a opção “Edit API Connection” e voilá achou o problema 😊
Lembrando que as conexões de API podem ser diversas, Office 365 se for o envio de email, chave para aplicações, SAS para storage e outro dado especifico que tenha sido usado na automação e precisa ter a credencial.
Agora poderá ver que as mesmas automações com erro irão aparecer como “Connected” indicando que estão agora funcionando.
A primeira vez que recebi o premio de MVP foi na categoria System Center, que depois alterou para Cloud and Datacenter Management (CDM).
Com o crescimento exponencial das clouds publicas os ambientes on-premises passaram a ser integrados também aos recursos disponíveis em cloud publica e/ou migrados.
Então recebo constantemente a pergunta “O System Center vai morrer?” e até afirmações “System Center foi descontinuado”.
Com o lançamento do System Center 2022 em 1o de Abril voltamos estas perguntas https://cloudblogs.microsoft.com/windowsserver/2022/04/01/system-center-2022-is-now-generally-available?WT.mc_id=AZ-MVP-4029139
Sendo assim vamos a algumas questões e usarei uma apresentação que fiz no MVPConf.
O que levou a essas conclusões?
- Atualizações semestrais foram descontinuadas (1801, 1909, etc), as atualizações seguiram o modelo anterior de Update Rollups a cada 12 a 18 meses e novas versões a cada 3 ou 4 anos
- Configuration Manager teve sua ultima versão 2012 R2 como a ultima que fazia parte da suíte System Center e passou a ser Enpoint Manager na familia do Intune
- Service Manager teve um comunicado do time de produtos em 2018 onde afirmavam que o produto não seria descontinuado
- Operations Manager não tinha uma integração com o Azure Monitor
- Virtual Machine Manager não dava suporte a recursos novos do Hyper-V e suporte limitado ao Azure
- Orchestrator com poucos pacotes de integração para 3rd partners
Configuration e Endpoint Data Protection Manager
- Foi deslocado da família System Center para a família Endpoint Management
- Integração com Intune e novos recursos do Azure como Analytics (Log e Desktop)
- Possibilidade de utilizar roles diretamente na web (CMG)
- Licenciamento foi integrado nas licenças de Microsoft 365, Enterprise Mobility Suite (EMS), Intune add-on e CoreCal Bridge
Conclusão: O produto não foi descontinuado nem se tornou uma nova família para se “desprender”, e sim um reposicionamento para o time de gerenciamento de Windows.
Operations Manager
- Os Management Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc)
- Foi disponibilizado um Management Pack para Azure que permite fazer toda a monitoração e dashboards, recebeu integração com o Log Analytics, que alimenta os dados para uso no Azure Monitor
- Reduz custos e tem melhor performance nos alertas para servidores on-premisse, quando o ambiente é integrado com o Azure Monitor
- Projeto Aquila permitirá usar o SCOM como SaaS (fonte: ZDNET e Directions)
Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados.
Virtual Machine Manager
- Está sendo atualizado com os recursos novos do Windows 2019, mas o timeline entre novos recursos do Windows e a inclusão seguem os Update Rollups, de 12 a 18 meses
- Ainda é muito importante por conta de recursos em Cluster de Hyper-V e monitoração para quem utiliza
- Windows Admin Center vem incluindo diversos dos recursos que o VMM possui, mas os wizards do VMM são superiores
Conclusão: Para grandes Clusters o VMM é indispensável, mas para gerenciamento de servidores Hyper-V segregados o Admin Center é uma boa opção.
Data Protection Manager
- Manteve as características principais de backup apenas de produtos Microsoft on-premisse (SQL, Hyper-V, Exchange, etc) e VMWare. Não tem previsão de inclusão para produtos de terceiros
- Não suporta serviços do Azure, cada serviço do Azure possui ferramentas próprias de backup. Aceita agentes em Azure VMs, porem deve-se levar em conta custo de download
- Possui a versão gratuita Microsoft Azure Recovery System (MARS) que é um subset do DPM sem suporte a fitas
Conclusão: Para ambientes Microsoft on-premisse ou Azure VMs para discos locais ou fitas ainda é importante, mas ambientes Azure utilizar os recursos nativos de cada serviço.
Service Manager
- Portal de autoatendimento agora em HTML 5
- Suporta integração com BMC, ServiceNow e outros, mas alguns conectores são pagos (3rd SW)
- Manteve-se fiel ao modelo ITIL v3
- A construção de workflows foi melhorada incluindo uma interface mais amigável e mais recursos de integração com o Orchestrator
Conclusão: É uma ferramenta da suíte que recebeu poucos avanços e manteve sua dependência do Orchestrator, que torna mais complexa a administração. Mas como faz parte da suíte é financeiramente justificável no conjunto.
Orchestrator
- Os Integration Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc)
- Integration Packs de 3rd SW nem todos possuem atualizações, na maioria são pagos
- Agora suportando PowerShell v4 permite que se crie novas funcionalidades por código, o que remove as limitações dos Integration Packs
Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados.
Alternativas ao System Center
Com os avanços das ferramentas integradas como Hybrid usando Azure Arc e Azure Automation, você poderá estender os mesmos recursos nos servidores on-premises equivalentes ao System Center.
