Enriquecendo o Sentinel com dados do Virus Total

28 junho 2023 msincic Azure, Azure Sentinel, Cloud computing, Cybersecurity, Log Analytics, Microsoft Sentinel, Segurança

Apresentando o Virus Total

O site Virus Total é um serviço muito conhecido do time de cibersegurança por permitir acompanhar diversos IoCs (Indicators of Compromissed) como hash de arquivo, IP, dominio ou URL baseado em uma pesquisa simples.
O Virus Total tem uma modalidade de assinatura onde é gratuita e possui limites para consultas, a fim de evitar o uso por bots ou sistemas de terceiros.
Veja abaixo os detalhes e note que temos aqui nossa API Key mesmo sendo uma conta gratuita:

Solution no Sentinel

Já que temos a possibilidade de integrar os dados do Virus Total com os alertas e incidentes do Sentinel, a primeira ação é instalarmos a Solution:

Ao instalar a solução verá na tela de informações a esquerda que inclui 9 playbooks que irão colher os dados do incidente, alerta, domínio ou arquivo para buscar e correlacionar os dados do Sentinel com o Virus Total.
O passo seguinte é clicar em Automation --> Playbook templates e instalar os playbooks, para isso poderá filtrar pela palavra "virus total" e usar o botão Create Template para abrir a janela de instalação do playbook em seu ambiente:


Nesta tela verá que não é necessário ainda conectar seu API Key nem o Log Analytics, isso será feito após o deploy quando ele abrir a tela de design do Logic Apps:


Note que ao abrir as tarefas e sequencia do Logic Apps verá que a conexão do Virus Total e do LogAnalytics estarão com o simbolo de aviso e o botão salvar não irá funcionar até que arrume as conexões.
Para isso a primeira vez será necessáiro clicar em API Connections e informar os dados tanto do Virus Total quanto do Log Analaytics que será utilizado. Abaixo o exemplo de conexão com a Virus Total:


Nos próximos conectores você não precisará mais configurar as conexões, pois ele irá permitir utilizar a conexão já configurada nos playbooks anteriores, como a imagem abaixo:


Lembre-se que precisará conectar tanto a API do Virus Total quanto do Log Analytics (workspace ID e Key).
Uma vez configurado, agora você depois de abrir todas as tarefas e indicar as conexões poderá salvar o Logic Apps e verá que ele irá aparecer na tab Active playbooks:

Criando a Automação

Agora que já importamos a solução e criamos os playbooks que desejamos usar, o passo seguinte é criar a regra para executá-lo, chamada de Automation Rule.
Para isso clique no botão Create --> Automation Rule e indique o nome da regra e o disparador (trigger) que pode ser um incidente novo, alterado ou um novo alerta.
Ao escolher o tipo de disparador utilize como ação Run Playbook para escolher um dos que criamos no passo anterior:


Ao criar a regra há varias formas de filtros que você poderá utilizar, por exemplo para detectar que há um arquivo que será analisado já que um dos playbooks é especifico para hash. Tambem poderá filtrar apenas para certos tipos de incidentes ou alertas.

Conclusão

Integrar diferentes serviços para ter IoCs de diversas fontes irá ajudar muito em suas análises de incidentes.
Tambem estão sendo testados nesse momento em private preview widgets para trazer dados do Anomali, Record Future e do Virus Total quando você estiver investigando uma entidade (Entity) mas esse é outro post futuro 

Usando o Comportamento de Entidade (Entity behavior) do Microsoft Sentinel

12 agosto 2022 msincic Azure Sentinel, Cybersecurity, Log Analytics, Microsoft Sentinel, Segurança

O conceito de comportamento de entidade é muito importante em uma investigação ou suspeita de uso indevido de direitos ou ações que indiquem uma falha ou invasão.

Com o Entity Behavior podemos usar um IP, nome de maquina, nome do recurso no Azure o a conta de um usuário para verificar o histórico do que ele fez ao longo de um periodo e identificar um comportamento prejudicial.

Configurando o Entity Behavior

Ao clicar no Sentinel no menu “Threat management –> Entity behavior” você verá a opção “Entity behavior settings” onde irá configurar o que você quer incluir na pesquisa. Veja que no meu exemplo selecionei as diferentes fontes de auditoria que eu tenho habilitadas.

image

Note que você poderá usar o UEBA (User and Entity Behavior Analytics) que não trataremos aqui neste post, mas é uma feature do Sentinel para analise de comportamento analitico de entidades de forma autonoma.

Executando a consulta

O passo seguinte é escolher a entidade, ou objeto que você irá gerar os dados. Usarei como exemplo o meu usuário de teste:

Oash&ard Microsoft Sentinel ) Microsoft Sentinel I Entity behavior 'K Last 24 v Emity Etti ng s %ffkbæks Hunting Notebwks %tity ATTACK Co ntent manag (Preview' Co nfig Gui&s & Si«ic

Uma vez selecionado o que você irá analisar, o Sentinel trará a tela de resumo com os dados do objeto, um gráfico de ações, anomalias ou atividades potencialmente perigosas e um quadro com análises do lado direito (Top Insights) como grupos e usuários similares, ações administrativas executadas como bloqueio de conta, privilégios cedidos, ações de SAP, anomalias, UEBA, therat indicators e watchlist.

No meu exemplo veja que no Top Insights uma regra de DLP foi alertada como atividade que pode ser indicativo de um comportamento perigoso.

image

Alem disso, no quadro Overview poderá notar que foi executada uma operação de pesquisa detectada por uma das regras analiticas do Sentinel. Essa regra detecta operações de listagem de objetos ativos, categorizado no MITRE como Initial Access.

image

Usando agora o botão Investigate você verá um interessante painel com o resumo das ações realizadas por esse usuário que está sendo analisado.

Note que tenho um detalhamento por objetos que foram acessados ou ações que geraram determinado comportamento.

image

Ao clicar na maioria deles não verá um resumo já analisado como abaixo, pois estarão com eventos agregados e será necessário abrir o Log Analytics, como a tela abaixo. Nesse caso abri um dos objetos e pedi seu detalhamento.

Apenas como observação, usei a consulta de UEBA para detectar ações onde eu tive anteriormente um alto numero de ações de deleção de arquivos.

Quer/ ed 。 「

P , , 囗

Conclusão

Ao ocorrer uma tentativa ou suspeita de uso indevido de privilégios ou comportamento errático, o Entity behavior é a ferrramenta que permitirá obter insights rápidos a partir da agregação de todas as features do Sentinel.

Com certeza é uma ferramenta excelente para o dia a dia de analises e detecções de ameaças que podem ainda não ter gerado um incidente mais grave ou que precisamos encontrar um ponto de ruptura de comportamento.

Lançamento do System Center 2022–Ainda Vale a Pena? Será descontinuado?

07 abril 2022 msincic Cloud computing, Azure OMS, Azure, Configuration Manager, Data Protection Manager, Log Analytics, Governança, Microsoft Azure, Operations Manager, Orchestrator, Service Manager, System Center, Virtual Machine Manager, Azure Stack

A primeira vez que recebi o premio de MVP foi na categoria System Center, que depois alterou para Cloud and Datacenter Management (CDM).

Com o crescimento exponencial das clouds publicas os ambientes on-premises passaram a ser integrados também aos recursos disponíveis em cloud publica e/ou migrados.

Então recebo constantemente a pergunta “O System Center vai morrer?” e até afirmações “System Center foi descontinuado”.

Com o lançamento do System Center 2022 em 1o de Abril voltamos estas perguntas https://cloudblogs.microsoft.com/windowsserver/2022/04/01/system-center-2022-is-now-generally-available?WT.mc_id=AZ-MVP-4029139

Sendo assim vamos a algumas questões e usarei uma apresentação que fiz no MVPConf.

O que levou a essas conclusões?

  • Atualizações semestrais foram descontinuadas (1801, 1909, etc), as atualizações seguiram o modelo anterior de Update Rollups a cada 12 a 18 meses e novas versões a cada 3 ou 4 anos
  • Configuration Manager teve sua ultima versão 2012 R2 como a ultima que fazia parte da suíte System Center e passou a ser Enpoint Manager na familia do Intune
  • Service Manager teve um comunicado do time de produtos em 2018 onde afirmavam que o produto não seria descontinuado
  • Operations Manager não tinha uma integração com o Azure Monitor
  • Virtual Machine Manager não dava suporte a recursos novos do Hyper-V e suporte limitado ao Azure
  • Orchestrator com poucos pacotes de integração para 3rd partners

Configuration e Endpoint Data Protection Manager

  • Foi deslocado da família System Center para a família Endpoint Management
  • Integração com Intune e novos recursos do Azure como Analytics (Log e Desktop)
  • Possibilidade de utilizar roles diretamente na web (CMG)
  • Licenciamento foi integrado nas licenças de Microsoft 365, Enterprise Mobility Suite (EMS), Intune add-on e CoreCal Bridge

Conclusão: O produto não foi descontinuado nem se tornou uma nova família para se “desprender”, e sim um reposicionamento para o time de gerenciamento de Windows.

Operations Manager

  • Os Management Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc)
  • Foi disponibilizado um Management Pack para Azure que permite fazer toda a monitoração e dashboards, recebeu integração com o Log Analytics, que alimenta os dados para uso no Azure Monitor
  • Reduz custos e tem melhor performance nos alertas para servidores on-premisse, quando o ambiente é integrado com o Azure Monitor
  • Projeto Aquila permitirá usar o SCOM como SaaS (fonte: ZDNET e Directions)

Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados.

Virtual Machine Manager

  • Está sendo atualizado com os recursos novos do Windows 2019, mas o timeline entre novos recursos do Windows e a inclusão seguem os Update Rollups, de 12 a 18 meses
  • Ainda é muito importante por conta de recursos em Cluster de Hyper-V e monitoração para quem utiliza
  • Windows Admin Center vem incluindo diversos dos recursos que o VMM possui, mas os wizards do VMM são superiores

Conclusão: Para grandes Clusters o VMM é indispensável, mas para gerenciamento de servidores Hyper-V segregados o Admin Center é uma boa opção.

Data Protection Manager

  • Manteve as características principais de backup apenas de produtos Microsoft on-premisse (SQL, Hyper-V, Exchange, etc) e VMWare. Não tem previsão de inclusão para produtos de terceiros
  • Não suporta serviços do Azure, cada serviço do Azure possui ferramentas próprias de backup. Aceita agentes em Azure VMs, porem deve-se levar em conta custo de download
  • Possui a versão gratuita Microsoft Azure Recovery System (MARS) que é um subset do DPM sem suporte a fitas

Conclusão: Para ambientes Microsoft on-premisse ou Azure VMs para discos locais ou fitas ainda é importante, mas ambientes Azure utilizar os recursos nativos de cada serviço.

Service Manager

  • Portal de autoatendimento agora em HTML 5
  • Suporta integração com BMC, ServiceNow e outros, mas alguns conectores são pagos (3rd SW)
  • Manteve-se fiel ao modelo ITIL v3
  • A construção de workflows foi melhorada incluindo uma interface mais amigável e mais recursos de integração com o Orchestrator

Conclusão: É uma ferramenta da suíte que recebeu poucos avanços e manteve sua dependência do Orchestrator, que torna mais complexa a administração. Mas como faz parte da suíte é financeiramente justificável no conjunto.

Orchestrator

  • Os Integration Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc)
  • Integration Packs de 3rd SW nem todos possuem atualizações, na maioria são pagos
  • Agora suportando PowerShell v4 permite que se crie novas funcionalidades por código, o que remove as limitações dos Integration Packs

Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados.

Alternativas ao System Center

Com os avanços das ferramentas integradas como Hybrid usando Azure Arc e Azure Automation, você poderá estender os mesmos recursos nos servidores on-premises equivalentes ao System Center.

image