Microsoft Sentinel–Automações não são executadas

Um erro muito comum quando vejo as implementações de Sentinel em clientes é não executar as automações.

Para entender o problema, é interessante interligar com aplicações Power Platform como o Power Apps, onde o usuário precisa autorizar a conta do Office 365 para que o app execute. Isso é feito na primeira execução e o Power Apps ou Power Automate irá guardar o usuário da conexão.

O mesmo acontece com as automações do Sentinel, elas não estão necessariamente interligadas a uma Automation Account e com isso é necessário autenticar todas as conexões!

Como saber se tenho automações não autenticadas?

Abra o Sentinel e clique em Automações.

Ao abrir clique na opção que irá aparecer no topo da lista do lado direito “API Connections”.

Faça um filtro pelas automações que estão com erros.

PPV 
; : - 0 -535F 
麟 一 do $ n , • 一 dwpa " 一 凵 
SUO!PBUUO) IdV

Para as automações que estão com erro na conexão, abra suas propriedades e vá para a opção “Edit API Connection” e voilá achou o problema 😊

Dashtnand MiUosoft API C.tions 
API Connections 
vie" 
Filter any 
azuresentinel-RisklQ-Data-Whois-Domain I Edit API connection 
(Ctrl 
Activity log 
Access 
lags 
and 
Edit API connection 
Edit API connection 
Edit API lets you update display and refresh autt-KTiutO. fu this "Nide. 
Display Name 
SentiN

Lembrando que as conexões de API podem ser diversas, Office 365 se for o envio de email, chave para aplicações, SAS para storage e outro dado especifico que tenha sido usado na automação e precisa ter a credencial.

Agora poderá ver que as mesmas automações com erro irão aparecer como “Connected” indicando que estão agora funcionando.

API Connections 
C) Refræh to CSV 
A"ign tags 
.11 
Display 
Kind 
Microsoft VI 
Sen... VI 
Connected 
Add 
API C—tiff'

Lançamento do System Center 2022–Ainda Vale a Pena? Será descontinuado?

A primeira vez que recebi o premio de MVP foi na categoria System Center, que depois alterou para Cloud and Datacenter Management (CDM).

Com o crescimento exponencial das clouds publicas os ambientes on-premises passaram a ser integrados também aos recursos disponíveis em cloud publica e/ou migrados.

Então recebo constantemente a pergunta “O System Center vai morrer?” e até afirmações “System Center foi descontinuado”.

Com o lançamento do System Center 2022 em 1o de Abril voltamos estas perguntas https://cloudblogs.microsoft.com/windowsserver/2022/04/01/system-center-2022-is-now-generally-available?WT.mc_id=AZ-MVP-4029139

Sendo assim vamos a algumas questões e usarei uma apresentação que fiz no MVPConf.

O que levou a essas conclusões?

  • Atualizações semestrais foram descontinuadas (1801, 1909, etc), as atualizações seguiram o modelo anterior de Update Rollups a cada 12 a 18 meses e novas versões a cada 3 ou 4 anos
  • Configuration Manager teve sua ultima versão 2012 R2 como a ultima que fazia parte da suíte System Center e passou a ser Enpoint Manager na familia do Intune
  • Service Manager teve um comunicado do time de produtos em 2018 onde afirmavam que o produto não seria descontinuado
  • Operations Manager não tinha uma integração com o Azure Monitor
  • Virtual Machine Manager não dava suporte a recursos novos do Hyper-V e suporte limitado ao Azure
  • Orchestrator com poucos pacotes de integração para 3rd partners

Configuration e Endpoint Data Protection Manager

  • Foi deslocado da família System Center para a família Endpoint Management
  • Integração com Intune e novos recursos do Azure como Analytics (Log e Desktop)
  • Possibilidade de utilizar roles diretamente na web (CMG)
  • Licenciamento foi integrado nas licenças de Microsoft 365, Enterprise Mobility Suite (EMS), Intune add-on e CoreCal Bridge

Conclusão: O produto não foi descontinuado nem se tornou uma nova família para se “desprender”, e sim um reposicionamento para o time de gerenciamento de Windows.

Operations Manager

  • Os Management Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc)
  • Foi disponibilizado um Management Pack para Azure que permite fazer toda a monitoração e dashboards, recebeu integração com o Log Analytics, que alimenta os dados para uso no Azure Monitor
  • Reduz custos e tem melhor performance nos alertas para servidores on-premisse, quando o ambiente é integrado com o Azure Monitor
  • Projeto Aquila permitirá usar o SCOM como SaaS (fonte: ZDNET e Directions)

Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados.

Virtual Machine Manager

  • Está sendo atualizado com os recursos novos do Windows 2019, mas o timeline entre novos recursos do Windows e a inclusão seguem os Update Rollups, de 12 a 18 meses
  • Ainda é muito importante por conta de recursos em Cluster de Hyper-V e monitoração para quem utiliza
  • Windows Admin Center vem incluindo diversos dos recursos que o VMM possui, mas os wizards do VMM são superiores

Conclusão: Para grandes Clusters o VMM é indispensável, mas para gerenciamento de servidores Hyper-V segregados o Admin Center é uma boa opção.

Data Protection Manager

  • Manteve as características principais de backup apenas de produtos Microsoft on-premisse (SQL, Hyper-V, Exchange, etc) e VMWare. Não tem previsão de inclusão para produtos de terceiros
  • Não suporta serviços do Azure, cada serviço do Azure possui ferramentas próprias de backup. Aceita agentes em Azure VMs, porem deve-se levar em conta custo de download
  • Possui a versão gratuita Microsoft Azure Recovery System (MARS) que é um subset do DPM sem suporte a fitas

Conclusão: Para ambientes Microsoft on-premisse ou Azure VMs para discos locais ou fitas ainda é importante, mas ambientes Azure utilizar os recursos nativos de cada serviço.

Service Manager

  • Portal de autoatendimento agora em HTML 5
  • Suporta integração com BMC, ServiceNow e outros, mas alguns conectores são pagos (3rd SW)
  • Manteve-se fiel ao modelo ITIL v3
  • A construção de workflows foi melhorada incluindo uma interface mais amigável e mais recursos de integração com o Orchestrator

Conclusão: É uma ferramenta da suíte que recebeu poucos avanços e manteve sua dependência do Orchestrator, que torna mais complexa a administração. Mas como faz parte da suíte é financeiramente justificável no conjunto.

Orchestrator

  • Os Integration Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc)
  • Integration Packs de 3rd SW nem todos possuem atualizações, na maioria são pagos
  • Agora suportando PowerShell v4 permite que se crie novas funcionalidades por código, o que remove as limitações dos Integration Packs

Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados.

Alternativas ao System Center

Com os avanços das ferramentas integradas como Hybrid usando Azure Arc e Azure Automation, você poderá estender os mesmos recursos nos servidores on-premises equivalentes ao System Center.

image

Microsoft Defender for Cloud Secure Posture

Já em preview privado a algumas semanas, hoje a Microsoft liberou para o público (GA) as alterações do Defender for Cloud para a postura de segurança.

Porque renomear de Secure Score para Secure Posture?

Dizer que você está 100% seguro não quer dizer que realmente não corre risco, e dizer que você possui uma postura 100% segura não quer dizer que não tem vulnerabilidades.

Vamos usar como analogia um motorista e seu veiculo. Esse motorista é cuidadoso e tem todas as manutenções em dia. Ele dirige com prudencia e raramente cometeria uma infração. Porem quantas vezes já não vimos alguem perder o controle porque um pneu furou, um buraco ou deslizamento na pista, defeito no motor, quebra de roda ou eixo, falha no freio e até um mal estar súbito?

Ou seja, sua POSTURA DE SEGURANÇA indica que você segue as recomendações para evitar ter problemas conhecidos, mas um brecha de segurança de um sistema operacional, aplicativo ou device não é um item que você tem como prever, apenas remediar…

Então renomear o “Secure Score” para “Secure Posture” mostra que você segue e tem os itens SOB O SEU CONTROLE remediados e  controlados. Mas você ainda está sujeito aos problemas externos, vide os exemplo recenter de vulnerabilidades do iOS, Log4j, SolarWinds, Mikrotik, etc.

Agora o Secure Posture inclui AWS e GCP

Anteriormente já era possivel ingressar com contas AWS e GCP mas elas não refletiam no Score e nem permitiam aplicar as regras de compliance. Assim, era necessário que olhasse separadamente e extraisse dados em mais de uma plataformas para gerar um report de compliance único.

O que mudou é que o Secure Posture mostra todas as Clouds integradas e você verá isso ao entrar no Defender for Cloud a partir de hoje!

p1

p2

p2B

Quais as politicas e regras avaliadas?

Esse é um item bem interessante, pois as regras de compliance que você já aplicou ao Azure serão automaticamente duplicadas para representar a mesma postura de segurança no AWS.

Veja abaixo que os mesmos conjuntos de regras aplicadas nas subscrições Azure agora estão aplicadas e adaptadas ao AWS.

p3

p4

Porem é importante ressaltar que apenas de ser possivel exportar os relatórios de compliance não é possivel gerar os reports de auditoria (Audit reports). O motivo é que os relatórios de auditoria é baseado em regras de segurança do datacenter e não apenas do que é serviços, ou seja controle do provedor e do cliente. Por conta disso, cada provedor precisa ter seus próprios relatórios atestando a segurança lógica e física da infraestrutura.

Onboarding de contas AWS

Fazer o onboarding da conta AWS não é um processo trivial pois envolve criar um objeto no CloudWatch e configurar permissões. Mas fazer o processo pelo Azure é simples e ele possui o passo a passo do que deve ser feito e valida ao final.

p5

Ao adicionar uma conta AWS será possivel escolher avaliar apenas a postura ou instalar automaticamente o Azure Arc nas VMs e capturar os logs com o Log Analytics.

p6

Importante lembrar que você poderá usar as politicas e iniciativas do Azure agora no AWS, então os mesmos requisitos customizados que você possua será avaliado nos dois ambientes.

Conclusão

Para clientes com ambiente multicloud agora será possivel ter uma visualização unica da postura baseada nas regras customizadas ou regulamentares únicas.

Anuncio oficial: Security posture management and server protection for AWS and GCP are now generally available - Microsoft Tech Community