MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

MITRE–Comparação entre EDRs

Um dos itens mais importantes nos últimos anos é a capacidade dos antivírus tradicionais versus os antivírus de nova geração (NGAV) alem de ferramentas com essas capacidades como o ATA e o ATP Marcelo de Moraes Sincic | Buscar por 'comportamental' (marcelosincic.com.br)

Com a evolução destes produtos o termo EDR se tornou muito comum e novas denominações como XDR (Extended Detection and Response) para definir estes produtos que usam inteligência artificial baseada em SaaS.

Como Avaliar um EDR?

Essa é a pergunta que muitos agora fazem, antes utilizávamos métodos de detecção de virus com um pendrive cheio de malwares, mas agora com o EDR e XDR estes testes baseados em assinatura de código (DAT) não são suficientes.

Para avaliar as capacidades, o MITRE, muito conhecido pela base de conhecimento MITRE ATT&CK® criou uma série de testes que as empresas de segurança executam e publicam os resultados dos seus EDRs.

Quanto maior o numero de passos detectados, melhor será a visibilidade do ataque que foi deflagrado.

Como Acessar e Ler o Ranking do MITRE ENGENUITY | ATT&CK Evaluations?

Acesse o site ATT&CK® EVALUATIONS (mitre-engenuity.org) e poderá ter um overview do processo, onde verá que já existem 3 diferentes “rounds”:

  • APT3 – Ataques que foram detectados e atribuídos ao governo chinês, baseado em roubo de identidade, movimentação lateral com scripts, rootkits e bootkits
  • APT29 – Ataques que foram detectados desde 2008 pelo governo russo baseados em PowerShell e WMI
  • Carbanak+FIN7 – Hoje um dos mais especializados, visam instituições financeiras utilizando os mais diversos tipos de ataques com sofisticação suficiente para se passarem por ferramentas administrativas dos SOs e até PDV

Uma vez entendendo os 3 diferentes conjuntos de teste, em geral avaliamos o Carbanak+FIN7 que é o mais sofisticado e atual.

Destaque para o comparativo entre os produtos, por exemplo se utilizarmos Microsoft x McAfee é possível saber as formas e técnicas em que cada um dos NGAV utilizaram para detectar os ataques.

Comparative-1

Nessa comparação podemos ver o detalhamento do tipo de ataque e o nível de log que o EDR irá gerar, clicando no link [1] que o NGAV da Microsoft criou:

Comparative-1-Details

Já o detalhamento de cada fabricante indica um resumo da eficiência em detectar os passos e gerar os EDRs para cada conjunto de ataques submetidos:

Detalhamento-1

O quadro acima mostra o numero de passos mínimo definido pelos algoritmos e quantas ações o EDR da Microsoft conseguiu identificar, o que representam passos antes e depois do ataque realizado.

Abaixo do quadro de resumo poderá ver o detalhamento dos ataques realizados com base na matriz do MITRE e ver por round a tática, técnica, sub técnica e passos que o EDR identificou. Ao clicar nas técnicas é possível ver os detalhes de cada item

Detalhamento-2

Outro interessante dado disponível são os resultados dos testes, esse retorna o EDR gerado:

Tecnica aplicada

Como Reproduzir o Mesmo Ambiente Validado nos Testes?

Talvez você já possua um dos fabricantes que foram testados, mas não tem certeza se tem os pacotes e configurações corretas.

Afinal, é importante lembrar que os testes acima são conduzidos pelos fabricantes e submetidos para publicação, então sabemos que utilizaram um conjunto de ferramentas e configurações bem construídas.

Por conta disso, os fabricantes publicam um relatório que está disponível no mesmo site, por exemplo no caso de Microsoft vemos os produtos e configurações utilizadas:

Vendor Configuration

Upload afetado no Hyper-V do Windows 10

Ao habilitar o Hyper-V no Windows 10 poderá ter o problema da performance de upload baixar radicalmente, a ponto de quase zerar!

Esse problema aconteceu comigo em 3 diferentes equipamentos (Dell Latitute, Vostro e um T110), cada um com placa diferente. Importante que os 3 são placas wifi 5G.

Solução, desabilite o Large Send Offload da placa virtual. O motivo é que este recurso não existe nas placas de rede que utilizei, portanto geram a incompatibilidade.

Tela2

Tela3

Resultado, vejam abaixo a performance antes de eu habilitar o Hyper-V e compartilhar a placa de rede, depois de habilitado e o mais recente com o LSO desabilitado.

Tela1

Posted: jul 15 2021, 23:35 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Hyper-V | Hardware | Windows 10

E-book Administração prática do Linux no Azure

Disponibilizado na biblioteca de livros gratuitos do Azure, a qualidade deste livro me impressionou e totalmente em português!

Apesar de ser um livro de 2019, foi “anunciado” no LinkedIn novamente e tive a curiosidade de ver no final de semana.

O conteúdo começa com conceitos básicos de Azure e logo passa para a parte que mais precisamos, se assim como eu você tem mais familiaridade com Windows que Linux.

Nos capítulos de Linux inicia por explicar o básico em linha de comando, Bash, variáveis, manipulação de textos e processos, além de DAC conceitual.

Na sequencia é possível usar o tutorial detalhado sobre criação de uma VM em Azure com detalhes sobre a diferença dos recursos  como armazenamento, rede e segurança.

Nos tópicos seguintes entra a fundo na administração de Linux como firewalld, systemd, DAC, MAC, RPM, YUM e vários outros usos para um administrador avançado com Vagrant e Packer.

Mas os últimos 2 tópicos dos capítulos é onde você que já conhece Linux terá uma experiência melhor, pois irá abordar como usar o Terraform, Ansible e PowerShell DSC para criar e administrar as VMS. Interessante que mostra inclusive a instalação deles em suas VMs Linux hospedadas.

E por fim, o ultimo tópico sobre contêineres de Linux fecha com chave de ouro um livro de 500 páginas!!!

Mesmo para quem já conhece bem Azure, esse livro por trazer temas como Ansible, Terraform e containers (incluindo AKS) será um guia de cabeceira  Winking smile

Livro eletrônico do Linux no Azure da Packt | Microsoft Azure

Para quem prefere em inglês: Linux on Azure E-book by Packt | Microsoft Azure

Imagem1

Posted: mai 31 2021, 14:16 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Linux | Azure | Outros | Cloud computing

Azure ARC–Integração de Updates, Change Monitoring e Inventario

Ao utilizar o ARC como já abordamos antes (http://www.marcelosincic.com.br/post/Azure-Arc-Gerenciamento-integrado-Multi-cloud.aspx), é uma duvida comum que recebo de pessoas da comunidade como habilitar as funções de Insigths que aparecem no painel do ARC.

Criando ou Habilitando uma conta de Automação existente

Para isso, o primeiro passo é ter uma conta de automação habilitada em uma região que faça o par com a região onde está o Log Analytics integrado ao ARC.

Para saber as regiões que foram estes pares, utilize o link https://docs.microsoft.com/pt-br/azure/automation/how-to/region-mappings como por exemplo East US1 faz par com East US2 e vice-versa. Ou seja o Log Analytics precisa estar em uma das regiões e a conta de automação na outra.

Zonas

Ao criar a conta de automação e o Log Analytics, vá na conta de automação e configure a integração entre elas.

2-Captura de tela 2021-05-03 115936

No próprio painel da conta de automação já é possivel configurar os recursos de Update, Change Management e Inventários e depois no painel do ARC são visualizados já pronto.

Habilitando os recursos

Cada módulo pode ficar integrado a um Automation ou Log Analytics diferente, o que não é o meu caso.

2-Integrando

Uma vez integrado no proprio painel da conta de automação já é possivel ver os recursos e habilitar os computadores, veja que os que possuem o agente do ARC já irão aparecer no inventário.

3-Inventario

Para o caso de Atualizações (Updates) você precisará escolher os que desejará automatizar.

5-Updates

Lembrando que uma vez configurado o controle de Updates é necessário criar as regras de agendamento para a instalação desses updates.

4-ARC integrado

Por fim, habilitamos o painel de Change Management indicando os computadores que queremos coletar.

6-Habilitando Alteracoes

Na minha opinião este é o melhor dos recursos, já que em segurança e sustentação saber as alterações realizadas em cada servidor é um item essencial.

7-

Novo conector para Consumo de Azure no Power BI

Uma ferramenta muito interessante para validar e verificar os custos em Azure é o Cost Managment do próprio Azure e a integração com um painel de App no Power BI.

Porem, com a desativação do App do Power BI muitos perderam uma ferramenta onde era possível manipular os dados e passaram a importar em Excel/CSV para criar seus reports customizados.

Conector para Azure Cost Management no Power BI Desktop

Pois bem, a Microsoft liberou um conector no Power BI desktop que irá permitir trazer dados mais detalhados do que se pode enxergar no Cost Management.

Esse conector pode ser acessado utilizando o conector que em português irá ter o nome Gerenciamento de Custos do Azure e irá permitir utilizar para quem tem um contrato Enterprise Agreement ou assinaturas individuais.

 Conexao-1

No caso de Enterprise Agreement basta informar o numero do contrato e fazer o login na tela seguinte:

Conexão-2

Conexao-3

É importante lembrar que se o contrato for muito grande e escolher 12 meses pode acontecer do Power BI demorar para conseguir acessar os dados e ocorrer timeout no refresh então recomendamos que crie com períodos menores.

Caso queira testar com meses adicionais ou diminuir o numero de meses, entre no Editor Avançado da consulta e altere o numero de meses como o exemplo abaixo, lembrando que precisará fazer isso em cada uma das tabelas.

Editor de conexao

Trabalhando com as tabelas de custos

Uma vez feita a conexão é possível escolher as tabelas que irá trabalhar.

Todas as tabelas são intuitivas e detalhadas com os dados que você já tem acesso ao exportar o CSV no portal do Azure, porem ele acrescenta o conjunto de dados para Instancia Reservada e Orçamentos.

Tabelas

Particularmente gostei muito da opção das tabelas de RI pois ele detalha as VMs e recursos que estão sendo cobrados e o custo original, permitindo mostrar de forma muito mais simples a economia gerada!

Dashboard reservas

As recomendações também podem ser vistas em detalhes:

Recomendacoes

E por fim, o uso das reservas com o percentual de “qualidade” onde poderá ter uma ideia se elas realmente estão sendo utilizadas é um dos mais importantes:

Uso
Posted: fev 08 2021, 13:27 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login
Marcelo de Moraes Sincic | Lync Server
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

Desenhando Soluções de Microsoft Lync 2013

Uma das tarefas de arquitetura é determinar posicionamento, carga, roles e configurações de um produto.

Em muitos produtos a Microsoft fornece aplicativos que permitem fazer o desenho  da topologia com informações detalhadas, e um destes é o Microsoft Lync Server 2013 Planning Tool disponivel em http://www.microsoft.com/en-us/download/confirmation.aspx?id=36823

A ferramenta é simples de instalar, mas muito útil e fornece informações que serviram de base para o desenho final. É importante lembrar que ferramentas de design de topologia servem de referência, mas cabe ao arquiteto utilizar estas informações para fazer o desenho final da solução desejada.

Irei neste artigo detalhar a ferramenta e a cada dado especificado tentar colocar o que será afetado na topologia conforme a opção escolhida.

 

Utilizando o Lync Planning Tool – Definição de Roles

Ao abrir a ferramenta podemos ver diversos detalhes e iniciar o processo. Do lado esquerdo temos uma série de links para entender a ferramenta, a barra de ferramentas com as funcionalidade de geração das planilhas Excel (XML) e desenho em Visio. No centro temos como ler um design salvo (File…Open…botão Display) ou criar um novo desenho em Design Sites:

09-09-2013 07-29-38

Ao iniciar o desenho de uma nova topologia será necessário inserir os dados de como o cliente irá utilizar o Lync. O primeiro destes dados é sobre Audio/Video conferencia que influirá diretamente no número de Frontend Servers necessários, apesar de ser ponto a ponto (peer-to-peer) quando utilizado o Lync Client:

09-09-2013 07-29-53

Dial-In é o recurso do Lync de permitir que um usuário entre na conferencia diretamente por um telefone comum utilizando um número criado para cada meeting. É importante lembrar que este recurso depende da integração entre o Lync e o PBX VoIP:

09-09-2013 07-30-11

Web Conferencing são as reuniões (meetings) entre usuários de Lync Client e usuário externos na internet. Diferente da primeira opção (Audio/Video), aqui estamos identificando que o cliente irá fazer reuniões com usuários não locais, o que é bem diferente e irá impactar em Edge Server e Frontend Servers:

09-09-2013 07-30-33

Enterprise Voice é o recurso da integração do Lync Server com o PBX VoIP, que alem da integração entre o cliente do Lync e o telefone também faz o encaminhamento de mensagens para o Exchange, o Voice Admissions para conferencias (Dial-in Conference) e outros recursos. Essencial lembrar que para isso é necessário ter a licença Lync Enterprise para o cliente e o servidor. Habilitar esta configuração impacta no numero de Frontend, Mediation e Gateway Server (se o PBX não é diretamente compatível com o Lync):

09-09-2013 07-30-47

Quando se implementa o recurso acima (Enterprise Voice) é possivel criar a integração entre o Lync Server e o Exchange Server. Por exemplo, ao receber uma mensagem na caixa postal do ramal esta mensagem é transformada em texto pelo reconhecimento de voz do Lync Server e enviada para o email do usuário em forma de texto e arquivo de som anexado. Esta configuração exige o Exchange Server 2010 e preferencialmente o Exchange 2013, alem de impactar no número de Frontend Servers:

09-09-2013 07-31-01

O CAC(Call Admission Control) é um recurso do Lync quando integrado ao PBX para trazer qualidade as ligações. Com ele o Lync controla a banda de VoIP fazendo o roteamento para linhas comuns (PSTN) quando a internet WAN utilizada para ligações IP estiver com tráfego alto.  É essencial para garantir qualidade nas ligações em sistemas integrados:

09-09-2013 07-31-14

A monitoração irá gerar dados detalhados da qualidade e utilização do Lync para estatisticas e geração de relatórios, o que permitirá ao administrador verificar a demanda e priorizar os investimentos na topologia quando precisar de expansões. Esta função é uma role separada de outras, apesar de ser possível ser compartilhada em um mesmo servidor físico Frontend:

09-09-2013 07-31-25

O Archive é o recurso que no Outlook cria uma pasta “Conversation History” ou um botão de histórico no Lync Client. Ele pode ser configurado para utilizar o SQL Server ou o Exchange 2013. O ideal é sempre utilizar o Exchange, assim a integração com o Outlook é garantida, porem apenas com o Exchange 2013 ela é possível. Utilizar o SQL Server irá criar uma base de dados pequena, uma vez que no IM (Instant Messenger) não costumamos utilizar imagens ou sons. É uma role separada, podendo ser compartilhada com outras roles assim como as outras:

09-09-2013 07-31-36

O Chat Persistente é um recurso utilizado para habilitar uma tab no cliente Lync 2013 onde é possivel criar conversações que ficam arquivadas e disponiveis para leitura posterior pública ou limitada a uma lista de usuários especificadas pelo criador da conversação. Impacta no número de Frontend Servers e no espaço utilizado no banco de dados do Lync:

09-09-2013 07-31-47

É a role que suporta o acesso para dispositivos móveis, lembrando que o Lync 2013 já possui clientes para iOS, Android e Windows Phone, permitindo inclusive chamadas de voz. Impacta no número de servidores Frontend e principalmente Edge Servers:

09-09-2013 07-31-56

O recurso de federação permite que os clientes do Lync internos se conectem com clientes MSN e outros. Com este recurso é possivel que os usuários corporativos usem o Lync para conversar com usuários Microsoft Live e impacta no número de Edge Servers necessários, e está disponivel gratuitamente no Lync 2013 para a licença Enterprise:

09-09-2013 07-32-07

Alta disponibilidade irá definir a necessidade de cluster do SQL Server e pools de Frontend e Edges Servers:

09-09-2013 07-32-17

Obviamente, serve apenas como informativo para os relatórios de ranges de IPs necessários no projeto final:

09-09-2013 07-32-27

 

Utilizando o Lync Planning Tool – Definição de Sites

No próximo passo é necessário definir quantos sites o cliente possui, o que será utilizado em cada site e para quantos usuários.

Note que as perguntas anteriores servem para indicar os recursos que serão considerados nesta fase. Ou seja, é possivel alterar as opções anteriores por clicar nos checkboxes em cada site. Conferir com cuidado o que cada site utilizará de recursos é importante neste ponto, já que em geral cada site tem diferentes necessidades:

09-09-2013 07-33-11

Esta opção serve apenas como informativo para o numero de certificados e o desenho final gerado, com os sites existentes no clientes:

09-09-2013 07-33-27

As próximas duas telas definem métricas de reuniões e voz que serão consumidas. Estes dados são baseados em experiência e histórico que podem ser obtidas com o pessoal de telecomunicações do cliente:

09-09-2013 07-33-37

09-09-2013 07-33-46

Para integração com o PBX é possivel utilizar gateways (equipamentos dedicados a fazer o roteamento entre o PABX tradicional e o Lync), SIP Truking (integração direta com o PBX VoIP e o Lync) ou conexão já existente. Estas definições são realizadas pelo pessoal de telecomunicações previamente ao design do Lync:

09-09-2013 07-33-56

Neste ponto definimos o percentual de usuários que tem ramais integrados para Unified Messaging. Na maioria das empresas não são todos os funcionários que possuem ramal próprio ou que precisem deste recurso, por exemplo para mesas de atendimento rotativo. Este dado é definido pelo cliente em questionários prévios:

09-09-2013 07-34-05

Defina quantos usuários irão fazer acesso externo, o que implica em mais servidores Edge do Lync:

09-09-2013 07-34-17

Defina quantos usuários utilizaram o recurso de Chat Persistente. Este dado é díficil de ser levantado, já que dificilmente a empresa terá isso antes do projeto. Porem, pode-se usar o percentual padrão de 20% que são aqueles que utilizam recursos assim, já que a grande maioria usa apenas o IM, sem criar salas de discussão. Um bom parametro para saber se este recurso é muito utilizado é por verificar a utilização de Pastas Públicas do Exchange:

09-09-2013 07-34-27

Defina o percentual de usuários que utilizarão os clientes Android, iOS e Windows Phone:

09-09-2013 07-34-35

Mediation Server é a role que faz integração entre o PBX e o Lync. Defina se irá utilizar um servidor único ou compartilhado para esta função. Obviamente que impacta no número de servidores e depende do número de ramais existentes no PBX:

09-09-2013 07-34-45

Por último defina sites que se conectam a sua estrutura. Neste caso são locais que conectam nos servidores localizados no site que foi definido e não locais onde haverá estrutura separada de servidores, o que e considerado outro site:

09-09-2013 07-37-02

Terminado de definir os dados do site, pode-se repetir a operação várias vezes para outros sites, lembrando que entende-se como "Central Site” aqueles locais onde haverá servidores Lync:

09-09-2013 07-37-15

 

Utilizando o Lync Planning Tool – Visualizando Resultados

09-09-2013 07-38-19

Ao clicar no botão Draw no final dos questionários podemos ver a topologia básica necessária, com os sites definidos.

Note que na lateral direita temos a configuração total de servidores necessários, onde temos a necessidade de servidores fisicos e roles:

09-09-2013 07-38-36

Clicando em cada site é possivel ver a estrutura sugerida, como o exemplo abaixo. Veja que na lateral direita em Ações é possivel retornar ao desenho global e ter acesso aos documentos online da Microsoft para as tarefas de planejamento, bem como a documentação de construção do ambiente:

09-09-2013 07-39-31

Ainda em cada site é possivel ver detalhes (3 abas seguintes), como a topologia IP para os servidores Edge com os ranges necessários, bem como as URLs. Importante que os ranges de IP e os nomes são apenas sugestões e precisam ser alterados para se adequar ao ambiente do cliente:

09-09-2013 07-41-18

09-09-2013 07-41-42

09-09-2013 07-41-53

 

Utilizando o Lync Planning Tool – Exportando os Dados

Utilizando a barra de ferramentas do Planning Tool vemos a possibilidade de criar um arquivo Visio com todos os diagramas gráficos mostrados nas imagens anteriores ou criar uma planilha Excel com os relatórios:

09-09-2013 07-38-49

O Visio exportado concentra todos os desenhos de topologia global e de sites separados em abas, podendo ser útil para apresentar ao cliente visualmente o design, uma vez que é possivel alterar os desenhos já que são baseados em stencils e não gráficos:

09-09-2013 07-43-13

A planilha Excel traz os relatórios de dados detalhados em abas, incluindo informações adicionais como o hardware necessário para cada servidor, o posicionamento e as configurações de firewall e certificados. Esta planilha é essencial na seção de requisitos a ser entregue ao cliente para preparação da implementação do ambiente Lync 2013:

09-09-2013 07-44-39

 

CONCLUSÃO

A ferramente Lync Server 2013, Planning Tool é um recurso inestimável para quem faz arquitetura de soluções tanto para pequenas quanto grandes empresas. Seus relatórios de necessidades de certificado, firewall e configurações ajudam mesmo quando estamos falando de um único servidor para todas as funções.

Posted: set 09 2013, 09:57 by msincic | Comentários (4) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login