MITRE–Comparação entre EDRs
Um dos itens mais importantes nos últimos anos é a capacidade dos antivírus tradicionais versus os antivírus de nova geração (NGAV) alem de ferramentas com essas capacidades como o ATA e o ATP Marcelo de Moraes Sincic | Buscar por 'comportamental' (marcelosincic.com.br)
Com a evolução destes produtos o termo EDR se tornou muito comum e novas denominações como XDR (Extended Detection and Response) para definir estes produtos que usam inteligência artificial baseada em SaaS.
Como Avaliar um EDR?
Essa é a pergunta que muitos agora fazem, antes utilizávamos métodos de detecção de virus com um pendrive cheio de malwares, mas agora com o EDR e XDR estes testes baseados em assinatura de código (DAT) não são suficientes.
Para avaliar as capacidades, o MITRE, muito conhecido pela base de conhecimento MITRE ATT&CK® criou uma série de testes que as empresas de segurança executam e publicam os resultados dos seus EDRs.
Quanto maior o numero de passos detectados, melhor será a visibilidade do ataque que foi deflagrado.
Como Acessar e Ler o Ranking do MITRE ENGENUITY | ATT&CK Evaluations?
Acesse o site ATT&CK® EVALUATIONS (mitre-engenuity.org) e poderá ter um overview do processo, onde verá que já existem 3 diferentes “rounds”:
- APT3 – Ataques que foram detectados e atribuídos ao governo chinês, baseado em roubo de identidade, movimentação lateral com scripts, rootkits e bootkits
- APT29 – Ataques que foram detectados desde 2008 pelo governo russo baseados em PowerShell e WMI
- Carbanak+FIN7 – Hoje um dos mais especializados, visam instituições financeiras utilizando os mais diversos tipos de ataques com sofisticação suficiente para se passarem por ferramentas administrativas dos SOs e até PDV
Uma vez entendendo os 3 diferentes conjuntos de teste, em geral avaliamos o Carbanak+FIN7 que é o mais sofisticado e atual.
Destaque para o comparativo entre os produtos, por exemplo se utilizarmos Microsoft x McAfee é possível saber as formas e técnicas em que cada um dos NGAV utilizaram para detectar os ataques.
Nessa comparação podemos ver o detalhamento do tipo de ataque e o nível de log que o EDR irá gerar, clicando no link [1] que o NGAV da Microsoft criou:
Já o detalhamento de cada fabricante indica um resumo da eficiência em detectar os passos e gerar os EDRs para cada conjunto de ataques submetidos:
O quadro acima mostra o numero de passos mínimo definido pelos algoritmos e quantas ações o EDR da Microsoft conseguiu identificar, o que representam passos antes e depois do ataque realizado.
Abaixo do quadro de resumo poderá ver o detalhamento dos ataques realizados com base na matriz do MITRE e ver por round a tática, técnica, sub técnica e passos que o EDR identificou. Ao clicar nas técnicas é possível ver os detalhes de cada item
Outro interessante dado disponível são os resultados dos testes, esse retorna o EDR gerado:
Como Reproduzir o Mesmo Ambiente Validado nos Testes?
Talvez você já possua um dos fabricantes que foram testados, mas não tem certeza se tem os pacotes e configurações corretas.
Afinal, é importante lembrar que os testes acima são conduzidos pelos fabricantes e submetidos para publicação, então sabemos que utilizaram um conjunto de ferramentas e configurações bem construídas.
Por conta disso, os fabricantes publicam um relatório que está disponível no mesmo site, por exemplo no caso de Microsoft vemos os produtos e configurações utilizadas:
Upload afetado no Hyper-V do Windows 10
Ao habilitar o Hyper-V no Windows 10 poderá ter o problema da performance de upload baixar radicalmente, a ponto de quase zerar!
Esse problema aconteceu comigo em 3 diferentes equipamentos (Dell Latitute, Vostro e um T110), cada um com placa diferente. Importante que os 3 são placas wifi 5G.
Solução, desabilite o Large Send Offload da placa virtual. O motivo é que este recurso não existe nas placas de rede que utilizei, portanto geram a incompatibilidade.
Resultado, vejam abaixo a performance antes de eu habilitar o Hyper-V e compartilhar a placa de rede, depois de habilitado e o mais recente com o LSO desabilitado.
E-book Administração prática do Linux no Azure
Disponibilizado na biblioteca de livros gratuitos do Azure, a qualidade deste livro me impressionou e totalmente em português!
Apesar de ser um livro de 2019, foi “anunciado” no LinkedIn novamente e tive a curiosidade de ver no final de semana.
O conteúdo começa com conceitos básicos de Azure e logo passa para a parte que mais precisamos, se assim como eu você tem mais familiaridade com Windows que Linux.
Nos capítulos de Linux inicia por explicar o básico em linha de comando, Bash, variáveis, manipulação de textos e processos, além de DAC conceitual.
Na sequencia é possível usar o tutorial detalhado sobre criação de uma VM em Azure com detalhes sobre a diferença dos recursos como armazenamento, rede e segurança.
Nos tópicos seguintes entra a fundo na administração de Linux como firewalld, systemd, DAC, MAC, RPM, YUM e vários outros usos para um administrador avançado com Vagrant e Packer.
Mas os últimos 2 tópicos dos capítulos é onde você que já conhece Linux terá uma experiência melhor, pois irá abordar como usar o Terraform, Ansible e PowerShell DSC para criar e administrar as VMS. Interessante que mostra inclusive a instalação deles em suas VMs Linux hospedadas.
E por fim, o ultimo tópico sobre contêineres de Linux fecha com chave de ouro um livro de 500 páginas!!!
Mesmo para quem já conhece bem Azure, esse livro por trazer temas como Ansible, Terraform e containers (incluindo AKS) será um guia de cabeceira 
Livro eletrônico do Linux no Azure da Packt | Microsoft Azure
Para quem prefere em inglês: Linux on Azure E-book by Packt | Microsoft Azure
Azure ARC–Integração de Updates, Change Monitoring e Inventario
Ao utilizar o ARC como já abordamos antes (http://www.marcelosincic.com.br/post/Azure-Arc-Gerenciamento-integrado-Multi-cloud.aspx), é uma duvida comum que recebo de pessoas da comunidade como habilitar as funções de Insigths que aparecem no painel do ARC.
Criando ou Habilitando uma conta de Automação existente
Para isso, o primeiro passo é ter uma conta de automação habilitada em uma região que faça o par com a região onde está o Log Analytics integrado ao ARC.
Para saber as regiões que foram estes pares, utilize o link https://docs.microsoft.com/pt-br/azure/automation/how-to/region-mappings como por exemplo East US1 faz par com East US2 e vice-versa. Ou seja o Log Analytics precisa estar em uma das regiões e a conta de automação na outra.
Ao criar a conta de automação e o Log Analytics, vá na conta de automação e configure a integração entre elas.
No próprio painel da conta de automação já é possivel configurar os recursos de Update, Change Management e Inventários e depois no painel do ARC são visualizados já pronto.
Habilitando os recursos
Cada módulo pode ficar integrado a um Automation ou Log Analytics diferente, o que não é o meu caso.
Uma vez integrado no proprio painel da conta de automação já é possivel ver os recursos e habilitar os computadores, veja que os que possuem o agente do ARC já irão aparecer no inventário.
Para o caso de Atualizações (Updates) você precisará escolher os que desejará automatizar.
Lembrando que uma vez configurado o controle de Updates é necessário criar as regras de agendamento para a instalação desses updates.
Por fim, habilitamos o painel de Change Management indicando os computadores que queremos coletar.
Na minha opinião este é o melhor dos recursos, já que em segurança e sustentação saber as alterações realizadas em cada servidor é um item essencial.
Novo conector para Consumo de Azure no Power BI
Uma ferramenta muito interessante para validar e verificar os custos em Azure é o Cost Managment do próprio Azure e a integração com um painel de App no Power BI.
Porem, com a desativação do App do Power BI muitos perderam uma ferramenta onde era possível manipular os dados e passaram a importar em Excel/CSV para criar seus reports customizados.
Conector para Azure Cost Management no Power BI Desktop
Pois bem, a Microsoft liberou um conector no Power BI desktop que irá permitir trazer dados mais detalhados do que se pode enxergar no Cost Management.
Esse conector pode ser acessado utilizando o conector que em português irá ter o nome Gerenciamento de Custos do Azure e irá permitir utilizar para quem tem um contrato Enterprise Agreement ou assinaturas individuais.
No caso de Enterprise Agreement basta informar o numero do contrato e fazer o login na tela seguinte:
É importante lembrar que se o contrato for muito grande e escolher 12 meses pode acontecer do Power BI demorar para conseguir acessar os dados e ocorrer timeout no refresh então recomendamos que crie com períodos menores.
Caso queira testar com meses adicionais ou diminuir o numero de meses, entre no Editor Avançado da consulta e altere o numero de meses como o exemplo abaixo, lembrando que precisará fazer isso em cada uma das tabelas.
Trabalhando com as tabelas de custos
Uma vez feita a conexão é possível escolher as tabelas que irá trabalhar.
Todas as tabelas são intuitivas e detalhadas com os dados que você já tem acesso ao exportar o CSV no portal do Azure, porem ele acrescenta o conjunto de dados para Instancia Reservada e Orçamentos.
Particularmente gostei muito da opção das tabelas de RI pois ele detalha as VMs e recursos que estão sendo cobrados e o custo original, permitindo mostrar de forma muito mais simples a economia gerada!
As recomendações também podem ser vistas em detalhes:
E por fim, o uso das reservas com o percentual de “qualidade” onde poderá ter uma ideia se elas realmente estão sendo utilizadas é um dos mais importantes:
