Microsoft Advanced Thread Analytics (ATA)

Muitos clientes que visito não fazem ideia do que é o ATA, mesmo possuindo ele no licenciamento EMS (Enterprise Mobility + Security). https://www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics

Entendendo o ATA

Para entender melhor o que é o ATA precisamos relembrar o que são produtos de segurança comportamentais (http://www.marcelosincic.com.br/post/Windows-Defender-ATP-Entenda-o-Novo-Produto.aspx).

Esse tipo de produto não se baseia em um código malicioso que é baixado a partir de um DAT com informações do código que será executado (assinatura de virus).

Nos serviços de segurança comportamental você analisa tendencias, usos comuns e atividades suspeitas, como por exemplo um usuário que nunca se logou em um servidor agora é administrador e acessa diversas maquinas.

O ATA conta com o expertise da Microsoft, empresa que criou o Active Directory, e baseia sua IA base nas informações de comportamento de bilhões de usuários ativos globalmente em seus sistemas.

Essa base de conhecimento aplicada ao ambiente corporativo é capaz de detectar tendências incomuns de usuários e proteger contra ameaças antes delas ocorrerem.

Instalando o ATA

A instalação é muito simples, pois a comunicação online é realizada diretamente com uma URL do Azure que recebe e processa com Machine Learning os dados de logs de segurança recebidos.

Para instalar basta executar o instalador que é bem simples e intuitivo. Após instalar o servidor, podemos instalar o Gateway que é o servidor Domain Controller que será analisado coletando os logs de segurança.

Uma vez instalado a administração é bem simples e é possivel avançar nas configurações informando por exemplo o SID de um usuário para servir de diagnostico de invasão, um range de IP de maquinas vulneráveis (em DMZ por exemplo) e outros recursos.

Uma vez instalado a manutenção dele é automática tanto do servidor quando dos gateways que são monitorados.

Verificando Issues de Segurança do AD

Após alguns dias já é possivel ver no painel alguns alertas, por exemplo abaixo o aviso de que alguns computadores estão usando nivel de criptografia vulnerável:

capture20170807171826449

capture20170807171926453

capture20170807171951836

capture20170807172020133

Esse outro exemplo um caso de execução remota de comandos e scripts por parte de um servidor remoto. Claro que nesse caso eu irei encerrar o aviso, uma vez que é uma atitude esperada pois tenho o projeto Honolulu na mesma maquina que executa comandos WMI:

image

capture20180226144405535

Veja que nos dois casos eu consigo saber o que aconteceu, quem foi o usuário e em que servidor/desktop a atividade suspeita ocorreu.

Alem disso, o histórico de detecções nos ajuda a entender se este é um chamado real ou apenas uma atividade especifica.

Recebendo Alertas e Relatórios

O ATA permite que configure o recebimento dos alertas e dos reports com os dados.

Posso executar reports standalone:

capture20170807172144683

Ou agendar para receber por email todos os dias, assim como os alertas:

capture20170807172207309

Como adquirir o ATA

Essa é a pergunta que muitos fazem, mas é importante lembrar que como um produto online, ele pode ser adquirido por quem tem o Microsoft 365 com Security (novo EMS, o antigo EMS ou então adquirido individual.

Lembrando que como se trata de um produto vinculado ao O365, a aquisição é por usuário, mesmo que standalone.

System Center Advisor Preview–Novidades

Já por alguns anos estamos assistindo sobre o System Center Advisor, desde que seu nome era Atlanta:

Agora temos uma nova fase deste produto que mostra a evolução da monitoração de serviços e servidores utilizando Cloud Computing. No TechEd deste ano em Houston o time de produtos anunciou o Preview da nova versão, que irei detalhar aqui após os testes Beta. A tabela no próprio site mostra a evolução de recursos:

Advisor1

Ativação e Custo

Até o momento como Preview, o SCA continua como um produto gratuito, bastando utilizar um Microsoft Account (antigo Passport) para ativar a conta.

Para os clientes que já tinham o SCA integrado com o SCOM, o update do agente é realizado automaticamente.

Caso não conheça, veja instruções nos artigos acima para ativação e integração com o SCOM.

Nova Interface

A interface do SCA Preview é muito similar ao Preview do Microsoft Azure e mostra a tendencia dos novos produtos em termos de design, sendo que ao abrir a Home temos uma interface baseada em webparts, com um resumo de todos os Intelligence Packs ativos e a situação resumida de cada item:

System Center Advisor

Intelligence Packs

Os Intelligence Packs são pacotes de monitoração que podem ser adicionados na conta, como adicionais ao “Configuration Assessment” que já existe na versão atual. Lembrando que os Intelligence Packs ainda não tem a definição do custo de ativação.

Para acrescentar novos Intelligence Packs ou remover os já ativos utilizamos o botão +/- no canto superior direito da tela e teremos a lista dos Intelligence Packs disponíveis para ativação, com alguns ainda não disponiveis e com o tempo novos serão acrescentados:

Advisor4

Como exemplo, ativei o Intelligence Pack de “Gerenciamento de Log’'”

Advisor5-2 Advisor5-3

Ao ativar um Intelligence Pack este aparece na Home com a instrução de que precisa ser configura se necessário. No caso do “Gerenciamento de Log” realizei a configuração por incluir o nome do log do Windows que seria adicionado e o filtro de eventos, se desejado:

Advisor5-5

No dia seguinte, depois de ativar a monitoração por algumas horas já temos os dados disponiveis, como a Home no inicio deste artigo. Ao cliente am “Log Management” podemos ver os detalhes de dados e utilizar as Queries para acessar os dados do Log detalhado como a segunda imagem abaixo onde podemos ver o tipo de evento mais comum em um determinado log:

Completo4

Completo5

Outro Intelligence Pack adicionado que traz um retorno valioso é o “Antimalware” que analise eventuais falhas de segurança, updates não aplicados e até virus/trojans conhecidos:

Completo6

Para as funções já existentes no Advisor, houve melhoras substanciais como podemos ver no resumo abaixo, onde temos alem dos mais de 300 alertas disponiveis agora temos as recomendações baseadas em KBs e a análise de workloads, por tipo de produto como pode ser visto abaixo no resumo de configuração e detalhamento dos alertas:

Completo2

Completo3

Conclusão

O System Center Advisor agora é maduro e com certeza receberá grandes inclusões de recurso com o lançamento do produto final.

Para quem já tem a conta, basta ativar o Preview em https://preview.systemcenteradvisor.com e se utiliza integrado ao SCOM automaticamente terá os novos recursos sendo monitorados com a ativação dos Intelligence Packs.

Integrando o SCOM ao System Center Advisor

O System Center Advisor é uma ferramenta muito boa para monitoração de ambientes, pois possui regras dinâmicas e totalmente gratuito. Para quem ainda não o conhece ou deseja saber detalhes, seguem os links abaixo:

 

Como integrar o System Center Advisor com o Operations Manager?

O SCOM permite monitorar todo o ambiente, desde equipamentos cameras de video (com SNMP) até mainframe (com management packs), mas suas regras são baseadas em comportamentos pré-selecionados, muitas vezes reativo.

Por outro lado, o Advisor é baseado em Best Practices com pouco mais de 350 regras intuitivas e preventivas.

Juntar os recursos dos dois produtos é o desejado e simples de ser feito. O primeiro passo é a partir do console do SCOM "Administration –> System Center Advisor –> Advisor Connector” e passar os dados de sua conta no Advisor:

SNAG-0000

A partir do seu login, o SCOM irá pedir para selecionar a sua conta no Advisor, já que é possivel possuir multiplas:

SNAG-0001

O passo seguinte é selecionar os servidores que serão monitorados pelo Advisor em conjunto com o SCOM:

SNAG-0002

Após a integração, no console do Advisor será possivel ver que o SCOM está integrado na aba Servers:

SNAG-0009

 

Como Visualizar os dados do Advisor no SCOM?

Esta visualização é automática, pois o Advisor irá criar views e status para o SCOM, com duas views principais.

A primeira view que poderá ser visualizada são os estados de agentes integrados:

SNAG-0006

E a segunda view permite visualizar os alertas gerados pelo Advisor e importados pelo SCOM:

SNAG-0005

 

Concluindo, juntar os dois produtos é simples e funcional, sem gerar custos.

Se você já possui o SCOM, integre o System Center Advisor e aproveite das funcionalidades conjuntas destes dois produtos!