Azure Log Insights–Service Map
Muitos já conhecem o Log Insights que antes era chamado de Operations Management Suite.
Nesse post vou destacar um dos muitos plug-ins de solução do Log Insights (chamados de Solutions no portal) que é o Service MAP
NECESSIDADE
Migrar um Datacenter não se resume a levar servidores de um lado para outro, muitas vezes é necessário migrar ambientes por perfil de aplicações.
O objetivo nestes casos é saber quais servidores devem ser migrados juntos para não ter problemas de comunicação tanto entre a mesma aplicação como tambem entre o serviço e os clientes.
O problema muitas vezes é conseguir mapear isso, pois poucas empresas possuem um mapa de aplicaçoes onde conste os servidores e serviços utilizados em cada aplicação, principalmente aplicações Web e Bancos de Dados.
SOLUÇÃO
A Solution Service Map do Log Insights resolve este problema!
Ela mapeia todas as comunicações que são realizadas com os servidores com o agente instalado e monta um mapa completo do uso detalhando portas, nomes, serviços e permitindo drill-down para visualizar as conexões e um painel de detalhes para cada item selecionado.
Segue abaixo alguns prints que utilizo para demonstrar o recurso:
Visualização dos serviços em um dos servidores e detalhes do servidor selecionado. Note que do lado esquerdo é possivel ver a barra de detalhes do servidor mapeado a partir de outros Solutions ativos em seu Log Insights.
Detalhes de um dos servidores que se comunica com o host, com detalhes da comunicação e do servidor.
Ao abrir o servidor selecionado na tela anterior posso ver os detalhes dele, incluindo agora os desktops e outros servidores que tambem utilizam o target selecionado.
Visualizando os detalhes de comunicação entre o servidor target e o servidro com SQL Server onde podemos ver as comunicações do SQL para autenticação, já que o target é meu Domain Controller.
Aqui podemos visualizar no conceito de grupos onde os servidores que inclui o grupo são mapeados e pode ser utilizado para criar os mapas de determinada aplicação.
Baseado no gráfico acima, consigo visualizar que o host T110 possui duas VMs principais que se comunicam com todos os clientes e entre eles constantemente.
Se for criar um plano de migração do meu ambiente já saberia que elas são as duas principais VMs que precisam ser ativadas juntas na migração.
UTILIZANDO O SERVICE MAP
Para utilizar o Service Map você obviamente deve ter uma conta Log Analytics já habilitada e incluir a Solution.
O levantamento dos dados não é realizado pelo agente normal do Log Insigths, é necessário baixar um agente especifico que pode ser encontrado no link abaixo:
https://docs.microsoft.com/en-us/azure/monitoring/monitoring-service-map-configure
Logo após instalar o agente do Service Map já será possivel visualizar os mapas e utilizar grupos.
Importante: O Service Map só mantem dados de 1 hora no máximo, portanto é um portal para visualização imediata já que não possui histórico nem relatórios analíticos.
Referencia completa: https://docs.microsoft.com/en-us/azure/monitoring/monitoring-service-map
Controlando Gastos no Azure com Cloudyn
Muito foi falado da compra da Cloudyn pela Microsoft e como isso seria integrado no gerenciamento de custos do Azure.
A verdade é que antes do Cloudyn o Azure possuia poucas ferramentas boas para gerenciar custos, que envolvam:
- Detalhamento dos custos me periodos pré-definididos (dia, semana, mes, ano, etc)
- Comparativo entre custos e budget planejado
- Maiores custos
- Objetos “orfãos” ou expirados
- Outros…
Era possivel usar o Power BI mas exigia um conhecimento bem profundo da camada de dados que o Azure exportava, deixando a maioria dos clientes sem um bom suporte.
Pensando nisso, ao comprar o Cloudyn a Microsoft disponibilizou a ferramenta de forma gratuita (algumas features adicionais são pagas) que cumpre estas tarefas e com vários reports adicionais e práticos.
Instalando e Configurando o Cloudyn
A instalação nada mais é do que uma aplicação que existe no Marketplace do Azure, com o nome de Cost Management, mas se procurar como Cloudyn tambem irá aparecer:
Insira os dados para notificação e o modelo de negócios que vc utiliza, em geral serão os dois primeiros (EA ou CSP). No caso de individual é para quem utiliza OPEN, Cartão de Crédito ou assinaturas MSDN como é o meu caso:
Na tela seguinte irão ser solicitados dados para encontrar as assinaturas, no meu caso a oferta de MSDN e meu tenant do Azure, que pode ser encontrado no portal em Subscriptions:
A partir dai o Cloudyn já encontra todas as subscriptions associadas ao seu usuário e vincula as assinaturas:
Utilizando os Reports de Budget do Cloudyn
Importante: Os dados podem demorar de 3 a 4 dias para serem populados.
Os reports são o ponto alto da ferramenta, relatórios de custos analiticos com base em budget são excelentes.
Para que estes relatório funcionem é importante criar o budget na opção “Projection and Budget”:
A partir dai já é possivel extrair os reports de Projetado x Utilizado, o que é a grande dor dos clientes Azure hoje.
Detalhando o Consumo e Otimizações
O Dashboard inicial do Cloudyn é didático e informativo por sí só:
Em Asset Controller é possivel ver um resumo do que estamos tendo de recursos e a evolução destes recursos:
Um dos recursos mais importantes é em Optimizer onde podemos ver recursos orfãos ou superalocações, que são os hints (dicas) que o Cloudyn fornece de custos.
Veja que no meu caso, possui 2 discos que não estão vinculados a nenhuma VMs, ou seja pago o storage sem utilizar:
Já navegando pelos menus e executando os relatórios temos um muito interessante que é Cost Navigator onde podemos ver diversos periodos e detalhar os custos no periodo:
E principalmente, como comentado no tópico anterior, comparar o meu Budget com o Realizado:
Alguns outros relatórios que não printei aqui são interessantes:
CONCLUSÃO
Vale a pena instalar e utilizar essa ferramenta, o custo dele no seu ambiente é infimo em relação a qualidade dos dados apresentados.
Importante lembrar que em muitos casos é importante utilizar as TAGs para separar recursos em grupos, caso seja necessário.
Porem, mesmo sem as TAGs é possivel utilizar filtros nos relatórios para alguns dados mais especificos.
Microsoft Advanced Thread Analytics (ATA)
Muitos clientes que visito não fazem ideia do que é o ATA, mesmo possuindo ele no licenciamento EMS (Enterprise Mobility + Security). https://www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics
Entendendo o ATA
Para entender melhor o que é o ATA precisamos relembrar o que são produtos de segurança comportamentais (http://www.marcelosincic.com.br/post/Windows-Defender-ATP-Entenda-o-Novo-Produto.aspx).
Esse tipo de produto não se baseia em um código malicioso que é baixado a partir de um DAT com informações do código que será executado (assinatura de virus).
Nos serviços de segurança comportamental você analisa tendencias, usos comuns e atividades suspeitas, como por exemplo um usuário que nunca se logou em um servidor agora é administrador e acessa diversas maquinas.
O ATA conta com o expertise da Microsoft, empresa que criou o Active Directory, e baseia sua IA base nas informações de comportamento de bilhões de usuários ativos globalmente em seus sistemas.
Essa base de conhecimento aplicada ao ambiente corporativo é capaz de detectar tendências incomuns de usuários e proteger contra ameaças antes delas ocorrerem.
Instalando o ATA
A instalação é muito simples, pois a comunicação online é realizada diretamente com uma URL do Azure que recebe e processa com Machine Learning os dados de logs de segurança recebidos.
Para instalar basta executar o instalador que é bem simples e intuitivo. Após instalar o servidor, podemos instalar o Gateway que é o servidor Domain Controller que será analisado coletando os logs de segurança.
Uma vez instalado a administração é bem simples e é possivel avançar nas configurações informando por exemplo o SID de um usuário para servir de diagnostico de invasão, um range de IP de maquinas vulneráveis (em DMZ por exemplo) e outros recursos.
Uma vez instalado a manutenção dele é automática tanto do servidor quando dos gateways que são monitorados.
Verificando Issues de Segurança do AD
Após alguns dias já é possivel ver no painel alguns alertas, por exemplo abaixo o aviso de que alguns computadores estão usando nivel de criptografia vulnerável:
Esse outro exemplo um caso de execução remota de comandos e scripts por parte de um servidor remoto. Claro que nesse caso eu irei encerrar o aviso, uma vez que é uma atitude esperada pois tenho o projeto Honolulu na mesma maquina que executa comandos WMI:
Veja que nos dois casos eu consigo saber o que aconteceu, quem foi o usuário e em que servidor/desktop a atividade suspeita ocorreu.
Alem disso, o histórico de detecções nos ajuda a entender se este é um chamado real ou apenas uma atividade especifica.
Recebendo Alertas e Relatórios
O ATA permite que configure o recebimento dos alertas e dos reports com os dados.
Posso executar reports standalone:
Ou agendar para receber por email todos os dias, assim como os alertas:
Como adquirir o ATA
Essa é a pergunta que muitos fazem, mas é importante lembrar que como um produto online, ele pode ser adquirido por quem tem o Microsoft 365 com Security (novo EMS, o antigo EMS ou então adquirido individual.
Lembrando que como se trata de um produto vinculado ao O365, a aquisição é por usuário, mesmo que standalone.