MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

Utilizando o Azure Application Insigths na Analise de Vulnerabilidades

Uma das ferramentas que são criadas costumeiramente nas aplicações Web hospedadas, o Azure Application Insigths, é subutilizado pelos time de desenvolvimento, operações e segurança.

O que é possivel com o App Insights?

O App Inisgths captura log e executa tarefas para avaliar performance, estabilidade e estatísticas de uso de um web app.

Quando comparado a outras ferramentas comuns com o Google Analytics é importante lembrar que o App Insigths tambem funciona como um APM (App Performance Monitoring) detalhando funções e linhas de código como chamadas a banco de dados, que estão gerando lentidão.

Particularmente gostou muito de algumas funções Smart detection settings que são regras comuns para detecção de tendências ou problema, além de métricas e as Live Metrics como abaixo. Alias, veja que a página de contato já demonstra um ataque simulado na chamada da página de contato:

Performance

Metricas-1

Outra função interessante que utilizo com frequencia em projetos é Avaliabiliy onde podemos criar regras de teste com páginas especificas em diversas localidades do Azure para funcionar como o antigo Global Monitoring Service.

image

O foco neste post não é detalhar as funções de APM, mas sim o uso pelo time de segurança.

Como o App Insights é útil para Segurança?

Primeiro temos o Application Map de onde iniciamos as analises. Basicamente ele é um modelo simples de dependencias e comunicação de dentro e de fora, incluindo as analises de disponibilidade que mostramos anterioremente.

Application Map

Mas ao retirar o WAF para gerar os logs e demonstrar nesse post, o resultado foi muito rápido como pode ser visto no diagrama abaixo.

Veja que os dois endereços na parte inferior são fontes desconhecidas e poderiam ser ataques, enquanto também se vê claramente os rastreadores e robôs do Google e outro site, mas estes não seriam o problema.

Ataque-1

Ao pedir acima os detalhes de pacotes e comunicação trocada com o meu blog com este endereço é possivel ver o que eles tentaram e quantas vezes.

Ataque-2

O passo seguinte é clicarmos em Samples ou na lista do lado direito para analisar as queries que foram recebidas.

Como pode ser visto abaixo, é possivel identificar de onde e como o acesso foi realizado por esse dominio que estava analisando os detalhes.

Ataque-3

Mas vamos deixar rodando por mais tempo com o WAF desativado e veremos com um histórico detalhadas.

Validando ataques reais

Agora com mas tempo exposto (como gostamos de correr risco Smile) o meu blog pôde ter mais dados para serem demonstrados.

Vamos abrindo em detalhes os itens no mapa onde demonstraram as estatisticas de falhas ocoridas.

Na primeira tela de detalhes vemos que só de falhas nas ultimas 24 horas eu recebi mais de 11 mil chamadas!!!

Failures-1

Mas a alegria se transforma em tristeza, ou melhor preocupação, essas 11290 chamadas na verdade fazem parte de um ataque orquestrado por força bruta…

Failures-2

Agora vamos começar a entender melhor o que estão tentando fazer no meu blog. Para isso vamos fazer uma “caminhada” pelos dados do App Insigths.

Do lado esquerdo já podemos ver que os ataques se deram por tentar enviar parametros e listas diretamente nas páginas do blog.

Failures-3

Abrindo mais detalhes consigo descobrir que a fonte do ataque são PCs na China usando um SDK especifico. Em alguns casos é possivel ver tambem o IP e com isso criar uma lista de bloqueio ou potenciais atacantes.

Failures-4

Segue um outro exemplo mais recente que teve quase a mesma origem (outra cidade chinesa), mas com detalhes de sofisticação onde foi utilizado um script e não apenas um SQL Injection:

Failures-4a

Continuando a caminhada posso ver a sequencia que o “usuário” utilizou no meu site, vejam que a lista de tentativas foi grande, e muitas vezes na mesma página:

Failures-5

O ataque na tela acima é um SQL Injection muito comum de ser utilizado em sites web por atacantes. Veja detalhes em CAPEC - CAPEC-66: SQL Injection (Version 3.5) (mitre.org)

O que fazer ao detectar um ataque ao site site ou aplicação?

Em geral os Web Application Firewall seguram boa parte dos ataques que vimos acontecer no meu blog em 24 horas, tanto que eu não fazia ideia antes que poderiam chegar a quase 12 mil em apenas 24 horas.

Mas mesmo que tenha um WAF é importante que monitore constantemente o numero de falhas em páginas para identificar se é um problema de aplicação ou um ataque que está tentando encontrar as vulnerabilidades, como os exemplos acima do meu site.

Outra importante ação é ajudar os desenvolvedores e não aceitar comandos diretamente do POST e muito menos concatenar cadeias de caracteres  dentro de parâmetros e comandos internos.

Utilize tambem uma biblioteca de desenvolvimento robusta, por exemplo no meu teste de exposição não tive o blog invadido pois o próprio .NET já possui filtros para evitar comandos enviados diretamente no POST ou URL.

Como um recurso mais sofisticado para ataques direcionados, veja a opção Create Work Items onde poderá criar automações, por exemplo barrar um determinado serviço ou até derrubar um servidor quando detectar uma anomalia muito grande!

Relembrando que o App Insights se integra ao Log Analytics para consultas e ao Sentinel para segurança inteligente de Threats!!!!

Conclusão

Se não conhece, não tem habilitado ou não utiliza o App Insights comece agora!

Não o limite a analises de performance e sessões, aprenda a ler também os indícios de falhas de segurança antes que uma invasão ocorra.

Posted: set 09 2021, 01:28 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

E-book Administração prática do Linux no Azure

Disponibilizado na biblioteca de livros gratuitos do Azure, a qualidade deste livro me impressionou e totalmente em português!

Apesar de ser um livro de 2019, foi “anunciado” no LinkedIn novamente e tive a curiosidade de ver no final de semana.

O conteúdo começa com conceitos básicos de Azure e logo passa para a parte que mais precisamos, se assim como eu você tem mais familiaridade com Windows que Linux.

Nos capítulos de Linux inicia por explicar o básico em linha de comando, Bash, variáveis, manipulação de textos e processos, além de DAC conceitual.

Na sequencia é possível usar o tutorial detalhado sobre criação de uma VM em Azure com detalhes sobre a diferença dos recursos  como armazenamento, rede e segurança.

Nos tópicos seguintes entra a fundo na administração de Linux como firewalld, systemd, DAC, MAC, RPM, YUM e vários outros usos para um administrador avançado com Vagrant e Packer.

Mas os últimos 2 tópicos dos capítulos é onde você que já conhece Linux terá uma experiência melhor, pois irá abordar como usar o Terraform, Ansible e PowerShell DSC para criar e administrar as VMS. Interessante que mostra inclusive a instalação deles em suas VMs Linux hospedadas.

E por fim, o ultimo tópico sobre contêineres de Linux fecha com chave de ouro um livro de 500 páginas!!!

Mesmo para quem já conhece bem Azure, esse livro por trazer temas como Ansible, Terraform e containers (incluindo AKS) será um guia de cabeceira  Winking smile

Livro eletrônico do Linux no Azure da Packt | Microsoft Azure

Para quem prefere em inglês: Linux on Azure E-book by Packt | Microsoft Azure

Imagem1

Posted: mai 31 2021, 14:16 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Linux | Azure | Outros | Cloud computing

Azure ARC–Integração de Updates, Change Monitoring e Inventario

Ao utilizar o ARC como já abordamos antes (http://www.marcelosincic.com.br/post/Azure-Arc-Gerenciamento-integrado-Multi-cloud.aspx), é uma duvida comum que recebo de pessoas da comunidade como habilitar as funções de Insigths que aparecem no painel do ARC.

Criando ou Habilitando uma conta de Automação existente

Para isso, o primeiro passo é ter uma conta de automação habilitada em uma região que faça o par com a região onde está o Log Analytics integrado ao ARC.

Para saber as regiões que foram estes pares, utilize o link https://docs.microsoft.com/pt-br/azure/automation/how-to/region-mappings como por exemplo East US1 faz par com East US2 e vice-versa. Ou seja o Log Analytics precisa estar em uma das regiões e a conta de automação na outra.

Zonas

Ao criar a conta de automação e o Log Analytics, vá na conta de automação e configure a integração entre elas.

2-Captura de tela 2021-05-03 115936

No próprio painel da conta de automação já é possivel configurar os recursos de Update, Change Management e Inventários e depois no painel do ARC são visualizados já pronto.

Habilitando os recursos

Cada módulo pode ficar integrado a um Automation ou Log Analytics diferente, o que não é o meu caso.

2-Integrando

Uma vez integrado no proprio painel da conta de automação já é possivel ver os recursos e habilitar os computadores, veja que os que possuem o agente do ARC já irão aparecer no inventário.

3-Inventario

Para o caso de Atualizações (Updates) você precisará escolher os que desejará automatizar.

5-Updates

Lembrando que uma vez configurado o controle de Updates é necessário criar as regras de agendamento para a instalação desses updates.

4-ARC integrado

Por fim, habilitamos o painel de Change Management indicando os computadores que queremos coletar.

6-Habilitando Alteracoes

Na minha opinião este é o melhor dos recursos, já que em segurança e sustentação saber as alterações realizadas em cada servidor é um item essencial.

7-

Novo conector para Consumo de Azure no Power BI

Uma ferramenta muito interessante para validar e verificar os custos em Azure é o Cost Managment do próprio Azure e a integração com um painel de App no Power BI.

Porem, com a desativação do App do Power BI muitos perderam uma ferramenta onde era possível manipular os dados e passaram a importar em Excel/CSV para criar seus reports customizados.

Conector para Azure Cost Management no Power BI Desktop

Pois bem, a Microsoft liberou um conector no Power BI desktop que irá permitir trazer dados mais detalhados do que se pode enxergar no Cost Management.

Esse conector pode ser acessado utilizando o conector que em português irá ter o nome Gerenciamento de Custos do Azure e irá permitir utilizar para quem tem um contrato Enterprise Agreement ou assinaturas individuais.

 Conexao-1

No caso de Enterprise Agreement basta informar o numero do contrato e fazer o login na tela seguinte:

Conexão-2

Conexao-3

É importante lembrar que se o contrato for muito grande e escolher 12 meses pode acontecer do Power BI demorar para conseguir acessar os dados e ocorrer timeout no refresh então recomendamos que crie com períodos menores.

Caso queira testar com meses adicionais ou diminuir o numero de meses, entre no Editor Avançado da consulta e altere o numero de meses como o exemplo abaixo, lembrando que precisará fazer isso em cada uma das tabelas.

Editor de conexao

Trabalhando com as tabelas de custos

Uma vez feita a conexão é possível escolher as tabelas que irá trabalhar.

Todas as tabelas são intuitivas e detalhadas com os dados que você já tem acesso ao exportar o CSV no portal do Azure, porem ele acrescenta o conjunto de dados para Instancia Reservada e Orçamentos.

Tabelas

Particularmente gostei muito da opção das tabelas de RI pois ele detalha as VMs e recursos que estão sendo cobrados e o custo original, permitindo mostrar de forma muito mais simples a economia gerada!

Dashboard reservas

As recomendações também podem ser vistas em detalhes:

Recomendacoes

E por fim, o uso das reservas com o percentual de “qualidade” onde poderá ter uma ideia se elas realmente estão sendo utilizadas é um dos mais importantes:

Uso
Posted: fev 08 2021, 13:27 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Treinamentos e ebooks recentes

Segue uma lista útil de documentações e treinamentos online recentes.

  • Windows Virtual Desktop Quickstart Guide
    Com a adoção do Home Office para funcionários, a solução de VDI como serviço (SaaS) cresceu muito
    Esse guia mostra os conceitos e requisitos para uma arquitetura de WVD SaaS no Azure
    Windows Virtual Desktop E-book | Microsoft Azure
  • SQL Server on-premisse e Azure SQL Server Workshops
    O conteúdo dos workshops que a Microsoft entrega aberto para ser utilizado nas empresas ou individualmente
    É necessário um esforço de setup, mas o conteúdo é bem rico e valioso
    sqlworkshops | SQL Server Workshops (microsoft.github.io)
Posted: dez 17 2020, 13:24 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login