Usando o Comportamento de Entidade (Entity behavior) do Microsoft Sentinel
O conceito de comportamento de entidade é muito importante em uma investigação ou suspeita de uso indevido de direitos ou ações que indiquem uma falha ou invasão.
Com o Entity Behavior podemos usar um IP, nome de maquina, nome do recurso no Azure o a conta de um usuário para verificar o histórico do que ele fez ao longo de um periodo e identificar um comportamento prejudicial.
Configurando o Entity Behavior
Ao clicar no Sentinel no menu “Threat management –> Entity behavior” você verá a opção “Entity behavior settings” onde irá configurar o que você quer incluir na pesquisa. Veja que no meu exemplo selecionei as diferentes fontes de auditoria que eu tenho habilitadas.
Note que você poderá usar o UEBA (User and Entity Behavior Analytics) que não trataremos aqui neste post, mas é uma feature do Sentinel para analise de comportamento analitico de entidades de forma autonoma.
Executando a consulta
O passo seguinte é escolher a entidade, ou objeto que você irá gerar os dados. Usarei como exemplo o meu usuário de teste:
Uma vez selecionado o que você irá analisar, o Sentinel trará a tela de resumo com os dados do objeto, um gráfico de ações, anomalias ou atividades potencialmente perigosas e um quadro com análises do lado direito (Top Insights) como grupos e usuários similares, ações administrativas executadas como bloqueio de conta, privilégios cedidos, ações de SAP, anomalias, UEBA, therat indicators e watchlist.
No meu exemplo veja que no Top Insights uma regra de DLP foi alertada como atividade que pode ser indicativo de um comportamento perigoso.
Alem disso, no quadro Overview poderá notar que foi executada uma operação de pesquisa detectada por uma das regras analiticas do Sentinel. Essa regra detecta operações de listagem de objetos ativos, categorizado no MITRE como Initial Access.
Usando agora o botão Investigate você verá um interessante painel com o resumo das ações realizadas por esse usuário que está sendo analisado.
Note que tenho um detalhamento por objetos que foram acessados ou ações que geraram determinado comportamento.
Ao clicar na maioria deles não verá um resumo já analisado como abaixo, pois estarão com eventos agregados e será necessário abrir o Log Analytics, como a tela abaixo. Nesse caso abri um dos objetos e pedi seu detalhamento.
Apenas como observação, usei a consulta de UEBA para detectar ações onde eu tive anteriormente um alto numero de ações de deleção de arquivos.
Conclusão
Ao ocorrer uma tentativa ou suspeita de uso indevido de privilégios ou comportamento errático, o Entity behavior é a ferrramenta que permitirá obter insights rápidos a partir da agregação de todas as features do Sentinel.
Com certeza é uma ferramenta excelente para o dia a dia de analises e detecções de ameaças que podem ainda não ter gerado um incidente mais grave ou que precisamos encontrar um ponto de ruptura de comportamento.
Lançamento do System Center 2022–Ainda Vale a Pena? Será descontinuado?
A primeira vez que recebi o premio de MVP foi na categoria System Center, que depois alterou para Cloud and Datacenter Management (CDM).
Com o crescimento exponencial das clouds publicas os ambientes on-premises passaram a ser integrados também aos recursos disponíveis em cloud publica e/ou migrados.
Então recebo constantemente a pergunta “O System Center vai morrer?” e até afirmações “System Center foi descontinuado”.
Com o lançamento do System Center 2022 em 1o de Abril voltamos estas perguntas https://cloudblogs.microsoft.com/windowsserver/2022/04/01/system-center-2022-is-now-generally-available?WT.mc_id=AZ-MVP-4029139
Sendo assim vamos a algumas questões e usarei uma apresentação que fiz no MVPConf.
O que levou a essas conclusões?
- Atualizações semestrais foram descontinuadas (1801, 1909, etc), as atualizações seguiram o modelo anterior de Update Rollups a cada 12 a 18 meses e novas versões a cada 3 ou 4 anos
- Configuration Manager teve sua ultima versão 2012 R2 como a ultima que fazia parte da suíte System Center e passou a ser Enpoint Manager na familia do Intune
- Service Manager teve um comunicado do time de produtos em 2018 onde afirmavam que o produto não seria descontinuado
- Operations Manager não tinha uma integração com o Azure Monitor
- Virtual Machine Manager não dava suporte a recursos novos do Hyper-V e suporte limitado ao Azure
- Orchestrator com poucos pacotes de integração para 3rd partners
Configuration e Endpoint Data Protection Manager
- Foi deslocado da família System Center para a família Endpoint Management
- Integração com Intune e novos recursos do Azure como Analytics (Log e Desktop)
- Possibilidade de utilizar roles diretamente na web (CMG)
- Licenciamento foi integrado nas licenças de Microsoft 365, Enterprise Mobility Suite (EMS), Intune add-on e CoreCal Bridge
Conclusão: O produto não foi descontinuado nem se tornou uma nova família para se “desprender”, e sim um reposicionamento para o time de gerenciamento de Windows.
Operations Manager
- Os Management Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc)
- Foi disponibilizado um Management Pack para Azure que permite fazer toda a monitoração e dashboards, recebeu integração com o Log Analytics, que alimenta os dados para uso no Azure Monitor
- Reduz custos e tem melhor performance nos alertas para servidores on-premisse, quando o ambiente é integrado com o Azure Monitor
- Projeto Aquila permitirá usar o SCOM como SaaS (fonte: ZDNET e Directions)
Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados.
Virtual Machine Manager
- Está sendo atualizado com os recursos novos do Windows 2019, mas o timeline entre novos recursos do Windows e a inclusão seguem os Update Rollups, de 12 a 18 meses
- Ainda é muito importante por conta de recursos em Cluster de Hyper-V e monitoração para quem utiliza
- Windows Admin Center vem incluindo diversos dos recursos que o VMM possui, mas os wizards do VMM são superiores
Conclusão: Para grandes Clusters o VMM é indispensável, mas para gerenciamento de servidores Hyper-V segregados o Admin Center é uma boa opção.
Data Protection Manager
- Manteve as características principais de backup apenas de produtos Microsoft on-premisse (SQL, Hyper-V, Exchange, etc) e VMWare. Não tem previsão de inclusão para produtos de terceiros
- Não suporta serviços do Azure, cada serviço do Azure possui ferramentas próprias de backup. Aceita agentes em Azure VMs, porem deve-se levar em conta custo de download
- Possui a versão gratuita Microsoft Azure Recovery System (MARS) que é um subset do DPM sem suporte a fitas
Conclusão: Para ambientes Microsoft on-premisse ou Azure VMs para discos locais ou fitas ainda é importante, mas ambientes Azure utilizar os recursos nativos de cada serviço.
Service Manager
- Portal de autoatendimento agora em HTML 5
- Suporta integração com BMC, ServiceNow e outros, mas alguns conectores são pagos (3rd SW)
- Manteve-se fiel ao modelo ITIL v3
- A construção de workflows foi melhorada incluindo uma interface mais amigável e mais recursos de integração com o Orchestrator
Conclusão: É uma ferramenta da suíte que recebeu poucos avanços e manteve sua dependência do Orchestrator, que torna mais complexa a administração. Mas como faz parte da suíte é financeiramente justificável no conjunto.
Orchestrator
- Os Integration Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc)
- Integration Packs de 3rd SW nem todos possuem atualizações, na maioria são pagos
- Agora suportando PowerShell v4 permite que se crie novas funcionalidades por código, o que remove as limitações dos Integration Packs
Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados.
Alternativas ao System Center
Com os avanços das ferramentas integradas como Hybrid usando Azure Arc e Azure Automation, você poderá estender os mesmos recursos nos servidores on-premises equivalentes ao System Center.
Utilizando o Azure Application Insigths na Analise de Vulnerabilidades
Uma das ferramentas que são criadas costumeiramente nas aplicações Web hospedadas, o Azure Application Insigths, é subutilizado pelos time de desenvolvimento, operações e segurança.
O que é possivel com o App Insights?
O App Inisgths captura log e executa tarefas para avaliar performance, estabilidade e estatísticas de uso de um web app.
Quando comparado a outras ferramentas comuns com o Google Analytics é importante lembrar que o App Insigths tambem funciona como um APM (App Performance Monitoring) detalhando funções e linhas de código como chamadas a banco de dados, que estão gerando lentidão.
Particularmente gostou muito de algumas funções Smart detection settings que são regras comuns para detecção de tendências ou problema, além de métricas e as Live Metrics como abaixo. Alias, veja que a página de contato já demonstra um ataque simulado na chamada da página de contato:
Outra função interessante que utilizo com frequencia em projetos é Avaliabiliy onde podemos criar regras de teste com páginas especificas em diversas localidades do Azure para funcionar como o antigo Global Monitoring Service.
O foco neste post não é detalhar as funções de APM, mas sim o uso pelo time de segurança.
Como o App Insights é útil para Segurança?
Primeiro temos o Application Map de onde iniciamos as analises. Basicamente ele é um modelo simples de dependencias e comunicação de dentro e de fora, incluindo as analises de disponibilidade que mostramos anterioremente.
Mas ao retirar o WAF para gerar os logs e demonstrar nesse post, o resultado foi muito rápido como pode ser visto no diagrama abaixo.
Veja que os dois endereços na parte inferior são fontes desconhecidas e poderiam ser ataques, enquanto também se vê claramente os rastreadores e robôs do Google e outro site, mas estes não seriam o problema.
Ao pedir acima os detalhes de pacotes e comunicação trocada com o meu blog com este endereço é possivel ver o que eles tentaram e quantas vezes.
O passo seguinte é clicarmos em Samples ou na lista do lado direito para analisar as queries que foram recebidas.
Como pode ser visto abaixo, é possivel identificar de onde e como o acesso foi realizado por esse dominio que estava analisando os detalhes.
Mas vamos deixar rodando por mais tempo com o WAF desativado e veremos com um histórico detalhadas.
Validando ataques reais
Agora com mas tempo exposto (como gostamos de correr risco 
) o meu blog pôde ter mais dados para serem demonstrados.
Vamos abrindo em detalhes os itens no mapa onde demonstraram as estatisticas de falhas ocoridas.
Na primeira tela de detalhes vemos que só de falhas nas ultimas 24 horas eu recebi mais de 11 mil chamadas!!!
Mas a alegria se transforma em tristeza, ou melhor preocupação, essas 11290 chamadas na verdade fazem parte de um ataque orquestrado por força bruta…
Agora vamos começar a entender melhor o que estão tentando fazer no meu blog. Para isso vamos fazer uma “caminhada” pelos dados do App Insigths.
Do lado esquerdo já podemos ver que os ataques se deram por tentar enviar parametros e listas diretamente nas páginas do blog.
Abrindo mais detalhes consigo descobrir que a fonte do ataque são PCs na China usando um SDK especifico. Em alguns casos é possivel ver tambem o IP e com isso criar uma lista de bloqueio ou potenciais atacantes.
Segue um outro exemplo mais recente que teve quase a mesma origem (outra cidade chinesa), mas com detalhes de sofisticação onde foi utilizado um script e não apenas um SQL Injection:
Continuando a caminhada posso ver a sequencia que o “usuário” utilizou no meu site, vejam que a lista de tentativas foi grande, e muitas vezes na mesma página:
O ataque na tela acima é um SQL Injection muito comum de ser utilizado em sites web por atacantes. Veja detalhes em CAPEC - CAPEC-66: SQL Injection (Version 3.5) (mitre.org)
O que fazer ao detectar um ataque ao site site ou aplicação?
Em geral os Web Application Firewall seguram boa parte dos ataques que vimos acontecer no meu blog em 24 horas, tanto que eu não fazia ideia antes que poderiam chegar a quase 12 mil em apenas 24 horas.
Mas mesmo que tenha um WAF é importante que monitore constantemente o numero de falhas em páginas para identificar se é um problema de aplicação ou um ataque que está tentando encontrar as vulnerabilidades, como os exemplos acima do meu site.
Outra importante ação é ajudar os desenvolvedores e não aceitar comandos diretamente do POST e muito menos concatenar cadeias de caracteres dentro de parâmetros e comandos internos.
Utilize tambem uma biblioteca de desenvolvimento robusta, por exemplo no meu teste de exposição não tive o blog invadido pois o próprio .NET já possui filtros para evitar comandos enviados diretamente no POST ou URL.
Como um recurso mais sofisticado para ataques direcionados, veja a opção Create Work Items onde poderá criar automações, por exemplo barrar um determinado serviço ou até derrubar um servidor quando detectar uma anomalia muito grande!
Relembrando que o App Insights se integra ao Log Analytics para consultas e ao Sentinel para segurança inteligente de Threats!!!!
Conclusão
Se não conhece, não tem habilitado ou não utiliza o App Insights comece agora!
Não o limite a analises de performance e sessões, aprenda a ler também os indícios de falhas de segurança antes que uma invasão ocorra.
Auditando acesso a dados sensiveis no Azure SQL Database
A algumas semanas atrás publiquei o artigo sobre o uso do Azure Purview como Ferramenta de Compliance (marcelosincic.com.br) e recebi varios questionamentos sobre auditoria no acesso a dados sensiveis.
Essa é uma duvida comum, pois o Purview identifica dados sensiveis nas diversas fontes de dados mas ele não faz auditoria do acesso a estes dados com log das consultas.
Para auditar o acesso é necessário usar as ferramentas de cada fonte de dados, uma vez que são diferentes. Por exemplo acesso a arquivos ou troca de dados é feito pelo DLP do Office 365 (Information Protection), acesso no SQL Server, etc.
Azure SQL Data Discovery & Classification
Parte da solução do Log Analytics, uma vez configurado terá acesso a estatisticas e detalhamento dos acessos.
As duas primeiras capturas abaixo são o meu painel do LAW com os 6 quadros do Solution onde posso identificar quem foram os IPs, usuários e dados acessados.
E ao clicar em qualquer um dos quadros terá acesso a consulta que gerou os dados, o que irá incluir um dado muito importante que é o SQL utilizado para acessar os dados, permitindo visualizar em detalhes o que foi visto pela sintaxe do comando!
Configurando o SQL Data Discovery & Classification
A configuração do recurso não é complexa e pode ser feita em poucos minutos através do próprio portal do Azure.
Existem duas formas de classificar os dados, a primeira é manual. Para isso acesse a opção Classification no painel acima e inclua manualmente as tabelas e respectivas colunas.
A fazer isso irá identificar o grupo e a criticidade dos dados da coluna para serem categorizados.
A segunda forma de categorizar dados é utilizando as regras de classificação automáticas que ainda está em Preview mas já é possivel visualizar os resultados.
Clique no botão Configure no painel do recurso e terá acesso aos labels de criticidade, que são os mostrados quando no modo manual incluimos as colunas.
Veja que no exemplo acima eu criei a minha própria classificação como “LGPD” e nela inclui alguns nomes de colunas que entendo serem necessárias (apenas como exemplo).
Para criar os conteudos que irão fazer parte automática da classificação, clique no botão Manage information types e verá os tipos já criados e poderá incluir novos tipos. No exemplo abaixo inclui RG, CPF e CNPJ mas poderia ter colocado alias como, por exemplo “raz%soci%” ou outros com coringas (%).
Importante: Aqui estamos classificando NOMES DE COLUNAS e não DADOS.
Log Analytics Solutions
Uma vez definidas as regras ou colunas com dados sensiveis, o Log Analytics ao qual o banco de dados está mapeado irá mostrar a solução instalada para gerar os gráficos que inclui no inicio deste artigo.
Porem, notará que no painel de monitoração irá aparecer uma mensagem dizendo que este tipo de painel (View) está sendo depreciado e que vc deveria criar um Workbook com as consultas. Isso não é necessário fazer agora, pois o recurso da solução irá funcionar normalmente.
Mas se desejar criar um workbook, clique nos quadros de recurso abrindo as consultas e as copie em um workbook customizado.
Azure ARC–Integração de Updates, Change Monitoring e Inventario
Ao utilizar o ARC como já abordamos antes (http://www.marcelosincic.com.br/post/Azure-Arc-Gerenciamento-integrado-Multi-cloud.aspx), é uma duvida comum que recebo de pessoas da comunidade como habilitar as funções de Insigths que aparecem no painel do ARC.
Criando ou Habilitando uma conta de Automação existente
Para isso, o primeiro passo é ter uma conta de automação habilitada em uma região que faça o par com a região onde está o Log Analytics integrado ao ARC.
Para saber as regiões que foram estes pares, utilize o link https://docs.microsoft.com/pt-br/azure/automation/how-to/region-mappings como por exemplo East US1 faz par com East US2 e vice-versa. Ou seja o Log Analytics precisa estar em uma das regiões e a conta de automação na outra.
Ao criar a conta de automação e o Log Analytics, vá na conta de automação e configure a integração entre elas.
No próprio painel da conta de automação já é possivel configurar os recursos de Update, Change Management e Inventários e depois no painel do ARC são visualizados já pronto.
Habilitando os recursos
Cada módulo pode ficar integrado a um Automation ou Log Analytics diferente, o que não é o meu caso.
Uma vez integrado no proprio painel da conta de automação já é possivel ver os recursos e habilitar os computadores, veja que os que possuem o agente do ARC já irão aparecer no inventário.
Para o caso de Atualizações (Updates) você precisará escolher os que desejará automatizar.
Lembrando que uma vez configurado o controle de Updates é necessário criar as regras de agendamento para a instalação desses updates.
Por fim, habilitamos o painel de Change Management indicando os computadores que queremos coletar.
Na minha opinião este é o melhor dos recursos, já que em segurança e sustentação saber as alterações realizadas em cada servidor é um item essencial.
