Novo Painel de Conformidade e Riscos no Office 365
Como já é conhecido, com as licenças de Microsoft 365 ou EMS 365 diversos recursos de segurança são habilitados. Já abordei um deles que é Compliance Manager em http://www.marcelosincic.com.br/post/LGPD-disponivel-no-painel-de-Compliance-do-Office-365.aspx
Alem deste painel temos mais dois que são bem interessantes, o primeiro tratado aqui é o Painel de Conformidade e Riscos. Esse painel permite que uma área de gerenciamento crie politicas de monitoração de regras.
Isso significa que alem das regras de DLP já existentes no painel de configuração do Office 365 (https://protection.office.com) temos esse outro painel.
A diferença é que o painel de proteção cria as regras com diversas ações bloqueando o envio de emails e documentos com dados confidenciais.
Já o painel de riscos serve para gerar dados sem criar represálias ou bloqueios, ou seja para a área de riscos conseguir mensurar dados que estão trafegando independente da corporação ter uma regra especifica de DLP para bloqueio.
Abrindo o Painel
O painel de Riscos está em https://compliance.microsoft.com/insiderriskmgmt e ao ser aberto já é possivel ver alertas, pontuação de segurança geral, conformidade com regras, etc:
A pontuação nos paineis do Office 365 é importante, uma vez que a partir deles que sabemos as regras de uma norma e o que fazer para se adequar a ela e estar mais próximo de um ambiente 100% seguro:
Criando uma Regra de Exemplo
Para criar regras poderá utilizar o menu na lateral e no exemplo abaixo mostro como criei uma regra para me avisar sobre várias ações que podem indicar um vazamento de dados.
Por exemplo, quando usuários compartilham um site SharePoint com alguem externo, é um destes indicativos possiveis. Tambem é possivel interligar as regras de DLP que você já tenha criado no Office 365, evitando duplicidade de configurações se a regra corporativa estiver implementada:
Note que é possivel acima escolher os diferentes templates de proteção a riscos, cada um apresentará dados que serão monitorados. No meu exemplo usei o Vazamento de Dados e escolhi Todos os Usuários, depois habilitando os itens já pré-configurados:
Conclusão
Esse novo painel irá ajudar muito empresas que possuem um departamento de Governança separado do que administra a TI, permitindo que tenham uma visão dos riscos na empresa sem a necessidade de ter acesso administrativo.
Alguns itens são adicionais e precisam de configuração, por exemplo os dados de RH exige um conector.
Para mais detalhes veja os links abaixo:
https://docs.microsoft.com/pt-br/microsoft-365/compliance/insider-risk-management-policies
https://docs.microsoft.com/pt-br/microsoft-365/compliance/import-hr-data
Integrando Updates de Fabricantes com o System Center Configuration Manager (Endpoint Protection Server)
Uma das necessidades que muitos administradores de TI tem é fazer o update de forma centralizada.
Isso se deve a ter um unico ponto de contato, evitar instalar mais softwares de fabricantes, principalmente para drivers de clients e servers com vários fabricantes.
Já bem estruturado e desde a versão 2012, o SCCM tem a capacidade que se chama SCUP (System Center Update Service) para isso.
Utilizando o SCUP
É bem simples de ser usado, vá ao site do fabricante que pode ser de HW ou SW e consiga a URL com o arquivo cab de atualizações. Dentro desse arquivo irá ter as definições em XML dos updates e requisitos. Por exemplo ele contem os updates com a lista de servidores e maquinas compativeis, ou requisitos de software para updates como Adobe e Autodesk.
Depois que tiver a URL vá em Software Library –> Software Updates –> Third-Party Software Updates e inclua o catálogo como a imagem abaixo:
Dai em diante basta aguardar que ele finalize o processo de sincronização e utilizar o botão Subscribe to Catalog para iniciar os updates:
Eles irão aparecer junto com os updates de Windows para serem aprovados, com uma classe a parte para se criar as regras automaticas de Deploy.
LGPD disponivel no painel de Compliance do Office 365
Hoje tivemos o anuncio de que a suíte de segurança agora contempla os modelos legais de novos países e incluiu o LGPD (Lei Geral de Proteção de Dados).
https://www.microsoft.com/en-us/microsoft-365/blog/2020/01/27/microsoft-compliance-score-address-changing-data-privacy-landscape/
Como Utilizar o Compliance Score
Para utilizar o novo painel de Compliance utilize o link https://servicetrust.microsoft.com/ComplianceManager/V3
Importante: Lembre-se de usar o painel em preview pois o painel clássico não permitirá incluir.
Nesse link clique em Adicionar Avaliação para incluir o módulo de avaliação do LGPD para o Office 365:
Após isso já poderá ver o widget do LGPD no seu painel:
O que é possível fazer e como usar o Compliance Manager?
A ideia do Compliance Manager é permitir que o administrador e a equipe de segurança e conformidade avaliem se estão usando corretamente as regras de uma lei nacional de proteção de dados ou norma internacional como ISO, HIPAA e PCI.
No meu exemplo na tela acima está aplicado o modelo de proteção de dados básica, HIPAA (segurança de dados para saúde) e o LGPD.
Veja que para cada um dos modelos eu tenho uma nota do que já foi implementado pela Microsoft e o que eu já fiz de itens de segurança.
Pergunta importante: O score no Compliance Manager é igual ao Score do painel Segurança e Conformidade do Office 365 (https://protection.office.com)?
A resposta é NÃO!!! Enquanto o painel do Segurança e Conformidade se refere a itens técnicos onde você escolhe o que irá ou não implementar e com isso reduzir ou aumentar o seu Score total, no painel do Compliance Manager não temos essa possibilidade, já que ele mede a aplicação dos itens da lei/norma.
Como Avaliar o meu Nível de Compliance?
A cada item do modelo que pode ser acessado em Itens de Ação ou Informações de Controle você verá uma lista com os itens cobertos pela Microsoft e os que você como corporação deverá fazer:
Ao clicar em Review será possível você indicar em que estágio está com aquele determinado Item de Ação.
Para isso informe o estágio, data que irá implementar, se os testes com a ação foram bem sucedidos e a data do teste. Também poderá incluir observações sobre como o teste foi feito, anexar os documentos e atribuir a um usuário.
Com isso você passa a ter um painel onde para auditoria será muito mais fácil levantar os dados e comprovar a aplicação do modelo de lei ou norma que você está se sujeitando:
Na parte seguinte das análises em Informações de Controle você terá uma visão como a abaixo onde terá acesso aos diferentes itens que deverá implementar conforme a lei, com destaque para o artigo que a impõe.
No caso de leis “cruzadas”, o resumo irá indicar as diferentes leis e normas com seus artigos onde é necessário implementar determinado controle:
Assim como na parte de Itens de Ação aqui você poderá abrir os itens e ver quais os controles que precisam ser implementados por você ou já são satisfeitos pela segurança do próprio Office 365:
Quem Pode Utilizar o Compliance Manager?
Essa ferramenta está disponível no EMS E5 que compõe o Microsoft 365 E5.
É possivel adquirir para pacotes de produtos Office 365 como um add-on que é o Office 365 Advanced Compliance que pode ser agregado ao O365 E1, E3 ou E5.
https://docs.microsoft.com/en-us/office365/admin/subscriptions-and-billing/buy-or-edit-an-add-on
Azure Sentinel - Conheça esse novo produto de segurança agora disponível
O Azure Sentinel já estava em Preview a algum tempo (desde março) mas já se mostrava um produto bem interessante https://azure.microsoft.com/pt-br/blog/azure-sentinel-general-availability-a-modern-siem-reimagined-in-the-cloud/?wt.mc_id=4029139
Sua função é analisar os dados coletados pelo Log Analytics e gerar dashboards, reports e alertas customizados com base no Machine Learning.
Nesse primeiro post vamos falar da configuração inicial do Sentinel e seu custo.
Nota: Em um segundo artigo falaremos dos Incidentes (casos), Busca, Notebook, Analise e Guias Estratégicos.
Como Habilitar o Azure Sentinel
Para criar uma instancia do Sentinel é necessário ter o Log Analytics (antigo OMS) habilitado e executando. Se você não o conhece, pode ver o que já abordamos anteriormente em http://www.marcelosincic.com.br/post/Operations-Management-System-(OMS)-agora-e-Azure-Log-Insights.aspx
Não é necessário fazer toda a configuração do Log Analytics, dependerá do que você irá analisar. Por exemplo se analisar DNS mas usa o Azure DNS, Office 365, Azure Activity e outros recursos que já fazem parte do Azure os dados são analisados sem a necessidade de agentes.
Por outro lado se for analisar threats de segurança em geral, login e logoff de AD e segurança de ambiente é necessário ter o agente instalado no Windows ou Linux para coleta dos dados de log.
Uma vez criado o workspace do Log Analytics já é possivel fazer o vinculo.
Com o workspace aberto já é possivel ter um overview dos dados coletados, nada muito sofisticado mas o suficiente para acompanhar o que está sendo analisado
Ao clicar em qualquer um dos itens resumidos pode-se abrir o log do que gerou os alertas ou anomalias
Como Definir o Que Será Analisado
No console do Sentinel é possivel ver a aba “Conectores” onde temos diversos conectores já criados e disponiveis, alguns como preview e indicados quais já foram vinculados.
Veja no ultimo item que a cada diferente conector o custo passa a ser vigente, ou seja conforme o numero ou tipo de conector haverá a cobrança do processamento dos dados.
Para cada conector é necessário abrir a pasta de trabalho e configurar a conexão, por exemplo se for Azure indicar a subscrição e se for Office 365 o usuário para logar e capturar os dados. Como cada um dos conectores tem wizard é um processo bem simples de ser realizado.
Consumindo os Reports e Dashboards
Na aba do Sentinel veja a opção “Pastas de Trabalho” onde podemos escolher quais os dashboards que queremos deixar disponiveis ou criar os seus próprio.
Por exemplo se eu clicar no conector de Exchange Online posso exibir ou salvar a pasta de trabalho com os seus reports já prontos.
No caso acima veja que a opção de Salvar não aparece e sim a Excluir, uma vez que já salvei anteriormente como um dos dashboards (pasta de trabalho) mais utilizados.
Ao clicar em Exibir podemos ver os detalhes do dashboard de analise de Identidade que fornece informações de login e segurança do meu ambiente
O nivel e detalhamento dos dados nos fornece uma visão real do que está acontecendo em determinado item de segurança conectado.
Compartilhando e Acessando os Reports (Dashboards)
Na mesma aba de “Pastas de Trabalho” mude para “Minhas pastas de trabalho” e poderá ver os que já salvou anteriormente ou customizou.
Neste exemplo já estão salvos 7 pastas (1 é customizada) com 31 modelos. As pastas são customizadas ou as já importadas dos modelos, enquanto o numero de “31 modelos” é porque um mesmo grupo de conectores tem mais de uma pasta, como é o caso do Office 365 que tem um conjunto de 3 diferentes reports.
Ao acessar um dos reports é possivel ver o botão “Compartilhar” onde podemos gerar um link e enviar a outros ou utilizar para acesso fácil
Já para “pinar” ou fixar no painel inicial do portal do Azure um atalho utilize o icone de pasta na tela de preview e a opção “Fixar no painel” como abaixo
Quanto Custo o Azure Sentinel
Sabemos que os recursos de Azure são em sua maioria cobrados e o Azure Sentinel já tem seu valor divulgado em https://azure.microsoft.com/pt-br/pricing/details/azure-sentinel/
A primeira opção é adquirir em pacotes de 100 a 500GB por dia em modelo antecipado iniciando ao custo de $200/dia. Claro que o modelo antecipado é mais barato, mas só é útil se você consumir 100GB por dia, o que daria $7200/mês.
A segunda opção e util para quem irá analisar menos de 100GB por dia é o modelo de pagamento pós-uso ou por consumo ao valor de $4 por GB analisado.
Para saber o quanto está sendo analisado, veja a segunda imagem nesse artigo onde temos o total de dados “ingeridos”.
Importante: Se você coletar dados do Log Analytics o valor deve ser somado, já que o Log Analytics é uma solução independente.
Instancia Reservada no Azure–Mudanças Importantes
A algum tempo que já temos disponivel o recurso de comprar antecipadamente uma instância de maquina virtual, chamado de Reserved Instance.
Basicamente o processo se mantem (http://www.marcelosincic.com.br/post/Reducao-de-Custos-com-Azure-Reserved-Instance.aspx) mas temos algumas novidades e alertas:
- Alteração do tipo de VM
- Outros recursos que podem ser reservados
- Mudança na forma de cobrança
- O que não está incluido em uma reserva
Possibilidade de Alteração da Instância (perfil de VM)
Essa mudança é importante, pois na primeira versão (link acima) não era possivel mudar o tipo de VM.
O processo para mudar era pedir o reembolso da instância já paga (lembrar que existia um penalty) e refazer com outro tipo de VM da mesma familia, como por exemplo de D2 para D4.
Para isso basta utilizar o botão Exchange em uma reserva e será possivel escolher o novo tipo de VM como abaixo sem o penalty dos aproximadamente 12% do cancelamento.
Porem, obviamente que o custo de uma D2 é diferente de uma D4 e para isso temos uma tabela que pode ser usada no calculo para saber o valor da diferença que será pago quando trocar entre os tipos de VM em https://docs.microsoft.com/en-us/azure/virtual-machines/windows/reserved-vm-instance-size-flexibility?wt.mc_id=4029139
Outros Tipos de Recursos Alem das VMs
Na versão inicial as RIs eram apenas VMs, mas agora é possivel fazer com diversos tipos de serviços. Atualmente segue a lista dos que são suportados:
- Reserved Virtual Machine Instance
- Azure Cosmos DB reserved capacity
- SQL Database reserved vCore
- SQL Data Warehouse
- App Service stamp fee
Essa lista é alterada conforme novos recursos podem ser agregados e está disponivel em https://docs.microsoft.com/en-us/azure/billing/billing-save-compute-costs-reservations?wt.mc_id=4029139
Importante: Veja o tópico abaixo sobre o que é incluido ou não no RI.
Forma de Pagamento Mensal
Até 8/Setembro/19 só era possivel o pagamento antecipado a partir de créditos do Enterprise Agreeement ou pagamento em cartão de crédito.
Agora é possivel o pagamento mensal, ou seja todos os meses irá consumir o valor com desconto igual ao anual como se fosse uma subscrição mensal e não anual. O melhor para entender é que o compromisso continua anual, mas pago mensal ao invés de upfront.
As outras regras continuam as mesmas, penalty em caso de cancelamento, mudança do tipo de VM ou serviço, etc.
Para os que já tem reservas será necessário aguardar o prazo da compra, uma vez que foi pago antecipado e por isso haveria a cobrança da taxa de cancelamento.
https://docs.microsoft.com/en-us/azure/billing/billing-monthly-payments-reservations?wt.mc_id=4029139
Importante: O pagamento mensal não mudou a forma de reserva ser anual, ou seja haverá o penalty em caso de cancelamento.
Recursos Cobrados em Separado
Uma confusão muito comum nos clientes que compraram RIs é o fato de continuar havendo outras cobranças para as VMs e recursos aparecendo em seus extratos.
O que precisa estar claro é que reservas se referem apenas aos recursos computacionais e não os recursos agregados como licenças, armazenamento e trafego de rede.
Por exemplo, no tipo de reserva para VMs que são as mais comum:
- Incluido no RI: CPU, memória e alocação
- Não incluido no RI: Armazenamento (storage), tráfego de rede (network) e licenciamento do SO se não foi utilizado o AHUB
O motivo é que estes recursos não incluidos fazem parte da subscrição e são compartilhados ou opcionais (como é o caso da licença do Windows ou SQL) e não haveria como limitar ao uso apenas daquelas reservas especificas, alem de serem voláteis diferente do tipo de uma VM por exemplo.
Conclusão
Com os novos recursos que podem ser reservados, flexibilidade na alteração, a nova forma de cobrança e o entendimento correto pode-se gerar uma economia substancial para aqueles que migraram serviços.