EOL do Windows e SQL 2008–Opções de Extensão
Como já é conhecido, o ciclo de vida de produtos da Microsoft para 2019 incluem o Windows e SQL 2008 RTM e R2.
Fonte: https://support.microsoft.com/pt-br/lifecycle/search
Porque isso é importante?
Esse é um problema típico nas grandes empresas, controlar o ciclo de vida do suporte dos produtos que estão implementados.
Esse assunto não é de menos importancia, pois ter o suporte finalizado implica:
- Novas ameaças de segurança, mesmo as que envolvem brechas de software, não são mais disponibilizadas para os sistemas expirados
- Novos recursos em novos produtos não tem garantia de funcionamento nos produtos expirados
O primeiro item é importantissimo. Imagine que sua empresa está vulnerável a um ataque como muitos que vimos, pois apenas UM SERVIDOR em seu ambiente é expirado!!!
O que fazer se tenho produtos que expiram?
Obviamente que a melhor opção é migrar (“TO-BE”), mas sabemos que nem sempre é possivel. O que pode ajudar é usar produtos como o Service Map do Log Insights (http://www.marcelosincic.com.br/post/Azure-Log-Insigths-Service-Map.aspx).
Mas para quem não pode fazer o upgrade, uma das opções é comprar o suporte via Premier para mais 3 anos, que não é barato mas é possivel negociar através do seu time de contas Microsoft.
O custo para extender o suporte POR ANO é equivalente a 75% do software full na versão mais atual.
Porem, a Microsoft disponibilizou uma opção bem interessante que é migrar para Azure “AS-IS”!!!!
Isso mesmo, quem migrar para Azure o Windows 2008 e SQL Server 2008 não precisará se preocupar pois terão gratuitamente o suporte por 3 anos adicionais.
https://azure.microsoft.com/pt-br/blog/announcing-new-options-for-sql-server-2008-and-windows-server-2008-end-of-support/
Não precisamos nem discutir que é uma estratégia para aumentar o uso de Azure, mas muito boa financeiramente para qualquer workload que possua.
Adoção Assistida do Office 365 e Azure com o FastTrack
Ao convertermos novos clientes que tinham produtos on-premisse para produtos on-line sempre temos o impacto inicial da migração.
Se o cliente comprou na modalidade CSP (Cloud Solution Provider) a configuração inicial é toda realizada pelo parceiro e a migração dos dados em geral tambem já é incluida como um serviço. Afinal, é importante lembrar que no modo CSP quem detem a conta é o parceiro pois é um modelo gerenciado.
Já no modelo de Licensing Partners, seja com contrato MPSA ou Enterprise Agreement (EA) o dono da conta e do tenant é o próprio cliente. Isso quer dizer que cabe ao cliente criar a tenant, habilitar os serviços, configurar e migrar os dados.
Como fazer o kickoff do Office 365 sem “dores” e com a melhor estrutura?
A resposta obvia seria contratar um parceiro de serviços Microsoft especializado em Office 365 que fará todo o processo, mas muitas vezes não é o que será feito.
Nestes casos, é possivel acionar o FastTrack.
O que é o Microsoft FastTrack?
Em termos básicos o FastTrack é um site contento todo um repertório de ferramentas para quem já tem ou adquiriu Office 365 em contrato direto (MPSA ou EA).
https://fasttrack.microsoft.com
Ao entrar no site poderá iniciar vendo um Dashboard do seu estado atual como abaixo:
Note que logo na primeira parte vemos o nome do meu tenant de testes, os dados incluindo algumas informações da empresa e o gerente do FastTrack, Engenheiro e Arquiteto. Quem são essas figuras?
Alguns clientes, principalmente na adoção possuem o beneficio de engajar um time da MS para ajudar no planejamento e execução da migração.
Isso não quer fizer que irão executar, mas sim orientar e apoiar no processo de criação do tenant, integração do AD (AADSYNC), configuração dos serviços e o processo de migração em sí.
Para saber se você é elegivel, veja “Ofertas” e “Serviços”:
O primeiro item “Ofertas” não são migrações e sim documentação gerada para compliance e arquivamento.
Já o item “Serviços” é onde poderá solicitar que a Microsoft engaje o time para executar as funções desejadas.
Note que não apenas Office 365, mas tambem Planning de deploy de Windows (neste caso é necessário ter voucher de Planning Services) e um parceiro para ajudar com Windows 10 se ainda não migrou.
Tambem temos a opção de Azure, mas ela só é disponivel para alguns paises e o cliente precisa consumir no minimo U$ 5000 mês.
Em qualquer dos casos, a Microsoft envia um email com mais informações para você e iniciará o processo conforme o tipo de solicitação.
E se já tenho o tenant e utilizo, que valor tenho no FastTrack?
Mesmo assim é interessante. Acesse o link https://myadvisor.fasttrack.microsoft.com
Esse site tem uma lista de recursos onde você poderá baixar apresentações, guias, modelos de emails e videos educativos.
A unica restrição é que todo o conteudo está em inglês 
De qualquer forma, ferramentas como o “Network Planner” para validar necessidade de link é importantissimo para o primeiro momento.
Tambem podemos destacar os videos e documentos onde podemos aprender mais sobre os recursos e o passo-a-passo de uma estória de sucesso!
Desenho de Cenários (Planos de Sucesso)
Uma opção bem interessante é a criação dos Planos de Sucesso que pode ser visto na primeira tela deste post.
Ao criar um plano e escolher o produto, será guiado a um checklist completo onde poderá escolher o que irá fazer e o site irá ajudar a trilhar o caminho correto.
Uma ajuda muito útil quando estamos fazendo a implementação e não queremos deixar algo passar!
E um recurso interessante é que você poderá acessar videos para ajudar na adoção do produto desejado pelos usuários finais.
Conclusão
Se está implantado, já tem funcionando apenas com alguns produtos ou está evoluindo o ambiente, o FastTrack irá ser uma ajuda enorme para o sucesso!
Azure Log Insights–Service Map
Muitos já conhecem o Log Insights que antes era chamado de Operations Management Suite.
Nesse post vou destacar um dos muitos plug-ins de solução do Log Insights (chamados de Solutions no portal) que é o Service MAP
NECESSIDADE
Migrar um Datacenter não se resume a levar servidores de um lado para outro, muitas vezes é necessário migrar ambientes por perfil de aplicações.
O objetivo nestes casos é saber quais servidores devem ser migrados juntos para não ter problemas de comunicação tanto entre a mesma aplicação como tambem entre o serviço e os clientes.
O problema muitas vezes é conseguir mapear isso, pois poucas empresas possuem um mapa de aplicaçoes onde conste os servidores e serviços utilizados em cada aplicação, principalmente aplicações Web e Bancos de Dados.
SOLUÇÃO
A Solution Service Map do Log Insights resolve este problema!
Ela mapeia todas as comunicações que são realizadas com os servidores com o agente instalado e monta um mapa completo do uso detalhando portas, nomes, serviços e permitindo drill-down para visualizar as conexões e um painel de detalhes para cada item selecionado.
Segue abaixo alguns prints que utilizo para demonstrar o recurso:
Visualização dos serviços em um dos servidores e detalhes do servidor selecionado. Note que do lado esquerdo é possivel ver a barra de detalhes do servidor mapeado a partir de outros Solutions ativos em seu Log Insights.
Detalhes de um dos servidores que se comunica com o host, com detalhes da comunicação e do servidor.
Ao abrir o servidor selecionado na tela anterior posso ver os detalhes dele, incluindo agora os desktops e outros servidores que tambem utilizam o target selecionado.
Visualizando os detalhes de comunicação entre o servidor target e o servidro com SQL Server onde podemos ver as comunicações do SQL para autenticação, já que o target é meu Domain Controller.
Aqui podemos visualizar no conceito de grupos onde os servidores que inclui o grupo são mapeados e pode ser utilizado para criar os mapas de determinada aplicação.
Baseado no gráfico acima, consigo visualizar que o host T110 possui duas VMs principais que se comunicam com todos os clientes e entre eles constantemente.
Se for criar um plano de migração do meu ambiente já saberia que elas são as duas principais VMs que precisam ser ativadas juntas na migração.
UTILIZANDO O SERVICE MAP
Para utilizar o Service Map você obviamente deve ter uma conta Log Analytics já habilitada e incluir a Solution.
O levantamento dos dados não é realizado pelo agente normal do Log Insigths, é necessário baixar um agente especifico que pode ser encontrado no link abaixo:
https://docs.microsoft.com/en-us/azure/monitoring/monitoring-service-map-configure
Logo após instalar o agente do Service Map já será possivel visualizar os mapas e utilizar grupos.
Importante: O Service Map só mantem dados de 1 hora no máximo, portanto é um portal para visualização imediata já que não possui histórico nem relatórios analíticos.
Referencia completa: https://docs.microsoft.com/en-us/azure/monitoring/monitoring-service-map
Controlando Gastos no Azure com Cloudyn
Muito foi falado da compra da Cloudyn pela Microsoft e como isso seria integrado no gerenciamento de custos do Azure.
A verdade é que antes do Cloudyn o Azure possuia poucas ferramentas boas para gerenciar custos, que envolvam:
- Detalhamento dos custos me periodos pré-definididos (dia, semana, mes, ano, etc)
- Comparativo entre custos e budget planejado
- Maiores custos
- Objetos “orfãos” ou expirados
- Outros…
Era possivel usar o Power BI mas exigia um conhecimento bem profundo da camada de dados que o Azure exportava, deixando a maioria dos clientes sem um bom suporte.
Pensando nisso, ao comprar o Cloudyn a Microsoft disponibilizou a ferramenta de forma gratuita (algumas features adicionais são pagas) que cumpre estas tarefas e com vários reports adicionais e práticos.
Instalando e Configurando o Cloudyn
A instalação nada mais é do que uma aplicação que existe no Marketplace do Azure, com o nome de Cost Management, mas se procurar como Cloudyn tambem irá aparecer:
Insira os dados para notificação e o modelo de negócios que vc utiliza, em geral serão os dois primeiros (EA ou CSP). No caso de individual é para quem utiliza OPEN, Cartão de Crédito ou assinaturas MSDN como é o meu caso:
Na tela seguinte irão ser solicitados dados para encontrar as assinaturas, no meu caso a oferta de MSDN e meu tenant do Azure, que pode ser encontrado no portal em Subscriptions:
A partir dai o Cloudyn já encontra todas as subscriptions associadas ao seu usuário e vincula as assinaturas:
Utilizando os Reports de Budget do Cloudyn
Importante: Os dados podem demorar de 3 a 4 dias para serem populados.
Os reports são o ponto alto da ferramenta, relatórios de custos analiticos com base em budget são excelentes.
Para que estes relatório funcionem é importante criar o budget na opção “Projection and Budget”:
A partir dai já é possivel extrair os reports de Projetado x Utilizado, o que é a grande dor dos clientes Azure hoje.
Detalhando o Consumo e Otimizações
O Dashboard inicial do Cloudyn é didático e informativo por sí só:
Em Asset Controller é possivel ver um resumo do que estamos tendo de recursos e a evolução destes recursos:
Um dos recursos mais importantes é em Optimizer onde podemos ver recursos orfãos ou superalocações, que são os hints (dicas) que o Cloudyn fornece de custos.
Veja que no meu caso, possui 2 discos que não estão vinculados a nenhuma VMs, ou seja pago o storage sem utilizar:
Já navegando pelos menus e executando os relatórios temos um muito interessante que é Cost Navigator onde podemos ver diversos periodos e detalhar os custos no periodo:
E principalmente, como comentado no tópico anterior, comparar o meu Budget com o Realizado:
Alguns outros relatórios que não printei aqui são interessantes:
CONCLUSÃO
Vale a pena instalar e utilizar essa ferramenta, o custo dele no seu ambiente é infimo em relação a qualidade dos dados apresentados.
Importante lembrar que em muitos casos é importante utilizar as TAGs para separar recursos em grupos, caso seja necessário.
Porem, mesmo sem as TAGs é possivel utilizar filtros nos relatórios para alguns dados mais especificos.
Microsoft Advanced Thread Analytics (ATA)
Muitos clientes que visito não fazem ideia do que é o ATA, mesmo possuindo ele no licenciamento EMS (Enterprise Mobility + Security). https://www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics
Entendendo o ATA
Para entender melhor o que é o ATA precisamos relembrar o que são produtos de segurança comportamentais (http://www.marcelosincic.com.br/post/Windows-Defender-ATP-Entenda-o-Novo-Produto.aspx).
Esse tipo de produto não se baseia em um código malicioso que é baixado a partir de um DAT com informações do código que será executado (assinatura de virus).
Nos serviços de segurança comportamental você analisa tendencias, usos comuns e atividades suspeitas, como por exemplo um usuário que nunca se logou em um servidor agora é administrador e acessa diversas maquinas.
Instalando o ATA
A instalação é muito simples, pois a comunicação online é realizada diretamente com uma URL do Azure que recebe e processa com Machine Learning os dados de logs de segurança recebidos.
Para instalar basta executar o instalador que é bem simples e intuitivo. Após instalar o servidor, podemos instalar o Gateway que é o servidor Domain Controller que será analisado coletando os logs de segurança.
Uma vez instalado a administração é bem simples e é possivel avançar nas configurações informando por exemplo o SID de um usuário para servir de diagnostico de invasão, um range de IP de maquinas vulneráveis (em DMZ por exemplo) e outros recursos.
Uma vez instalado a manutenção dele é automática tanto do servidor quando dos gateways que são monitorados.
Verificando Issues de Segurança do AD
Após alguns dias já é possivel ver no painel alguns alertas, por exemplo abaixo o aviso de que alguns computadores estão usando nivel de criptografia vulnerável:
Esse outro exemplo um caso de execução remota de comandos e scripts por parte de um servidor remoto. Claro que nesse caso eu irei encerrar o aviso, uma vez que é uma atitude esperada pois tenho o projeto Honolulu na mesma maquina que executa comandos WMI:
Veja que nos dois casos eu consigo saber o que aconteceu, quem foi o usuário e em que servidor/desktop a atividade suspeita ocorreu.
Alem disso, o histórico de detecções nos ajuda a entender se este é um chamado real ou apenas uma atividade especifica.
Recebendo Alertas e Relatórios
O ATA permite que configure o recebimento dos alertas e dos reports com os dados.
Posso executar reports standalone:
Ou agendar para receber por email todos os dias, assim como os alertas:
Como adquirir o ATA
Essa é a pergunta que muitos fazem, mas é importante lembrar que como um produto online, ele pode ser adquirido por quem tem o Microsoft 365 com Security (novo EMS, o antigo EMS ou então adquirido individual.
Lembrando que como se trata de um produto vinculado ao O365, a aquisição é por usuário, mesmo que standalone.