MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Pageviews The process cannot access the file 'D:\home\site\wwwroot\Visitas2.xml' because it is being used by another process.
Pageviews 2019: 4355776
Pageviews 2018: 4296564
Pageviews 2017: 4351543
Pageviews 2016: 3991973
Pageviews 2015: 2675433
Pageviews 2014: 2664208
Pageviews 2013: 2399409
Pageviews 2012: 3209633
Pageviews 2011: 2730038
Pageviews 2010: 1470924
Pageviews 2009: 64608

Últimos posts

Categorias

Arquivo

Tags

Vencedor de Outubro do VMM 2012 CEP Community Participation Contest

image

Recebi ontem um email me parabenizando no programa Beta do System Center Virtual Machine Manager 2012 do mes de Outubro.

Foram 6 meses de programa onde os participantes com melhores contribuições ganharam um premio de reconhecimento e tiveram suas contribuições publicadas.

O melhor é que entre os 6 ganhadores temos dois brasileiros, no mes de setembro foi o Leandro Carvalho com suas contribuições sobre VMM 2012 que podem ser vistas em http://www.bettertogether.org.au/blog/b/leandrocarvalho/archive/tags/VMM/default.aspx

As minhas contribuições podem ser vistas em http://www.marcelosincic.com.br/blog/category/Virtual-Machine-Manager.aspx.

Fico feliz de compartilhar com o Leandro este prêmio e mostrar para a comunidade como os técnicos brasileiros tem destaque em programas internacionais, principalmente em betas como neste caso e outros, como no System Center Configuration Manager 2007 que também dividi prêmios com o Leandro e o Jordano (http://blogs.technet.com/b/systemcenter/archive/2010/01/11/december-community-contributors-recognized-marcelo-sincic-and-jordano-mazzoni.aspx)

Posted: dez 02 2011, 10:19 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Alterar o Barcode do Tape no DPM 2010 Coloca em Suspect

Um situação não muito comum, mas que já me aconteceu no passado e ontem novamente é a colocação da etiqueta de código de barras em um tape depois deste já ter sido utilizado.

Nota: Este tópico também se aplica ao DPM 2007, mas neste caso é necessário mudar o nome da instância no comando.

SINTOMA

Após colocar um novo barcode ou retirar o que já existia o tape aparecerá na lista como “SUSPECT” e receberá alertas de mal funcionamento na unidade de fitas.

CAUSA

Ao utilizar uma fita que não tenha uma etiqueta de barcode o DPM gera um numero identificador na fita, chamado de OMID (on-media ID) e registra esse no banco de dados SQL Server.

Ao colocar ou substituir a etiqueta com o barcode o DPM fica com os dados de backup duplicados e passa a entender que se trata de outra fita, com os mesmos backups. Com isso a fita passa a ficar como SUSPECT.

SOLUÇÃO

O mais óbvio é colocar os barcodes ANTES de utilizar as fitas.

Porem, se ocorreu o acima execute o comando abaixo:

osql -E -S localhost\MSDPM2010 -d DPMDB -Q "UPDATE tbl_MM_ArchiveMedia SET IsSuspect = 0"

Este comando irá executar uma query no SQL Server resetando o flag “IsSuspect” de todas as fitas para falso, o que gerará outro estado no console do DPM que é “Imported”.

Após isso, executa o inventário completo e o DPM recuperará as informações da fita, porem nas experiências que já tive não será possivel fazer o restore já que a referencia no banco de dados que o console utilizou foi o OMID e não o barcode na ocasião. O ideal neste caso é marcar as fitas como “free” e re-executar os backups.

Fonte: http://technet.microsoft.com/en-us/library/bb808923.aspx

Posted: nov 17 2011, 12:25 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: System Center

Palestra sobre Green IT–Semana da Informatica UNIT Aracaju

Hoje terminou o evento de uma semana organizado pelo MVP Jordano Mazzoni (@jordanomazzoni).

Neste sábado foram as ultimas palestras, Ramon Duraes sobre ALM, eu sobre Green IT e o Eduardo Freire sobre Gerenciamento de Projetos. Ainda no grupo dos MVPs que participaram houve o próprio Jordano e ontem o Alberto Oliveira que não tivemos a oportunidade de encontrar por aqui, uma pena.

Segue um “presente” para quem deseja saber mais sobre o assunto. Este livro é gratuito e disponibilizado na internet por uma iniciativa da HP: GreenITforDummiesSpecialEdition.pdf (3,65 mb)

Alem disso, segue o ppt da apresentação no formato PDF: SemInfo Aracaju.pdf (2,08 mb)

E por ultimo, o exemplo da planilha que utilizei para mostrar rapidamente o custo de energia em um ambiente de TI: Exemplo Consumo.xlsx (10,95 kb)

 

Posted: out 30 2011, 21:12 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Emulador para Tape Drive compativel com DPM (VTL)

Desde os posts que montei sobre DPM e uso de Tapes (http://bit.ly/o5IFjG http://bit.ly/mZOtsz http://bit.ly/odf897) que me perguntam como montar o ambiente em laboratório.

O que é um VTL?

É claro que na ocasião utilizei um Tape Drive real, mas é possivel emular, e muito bem. Fiz isso ontem para testes com o DPM 2012 (http://bit.ly/uW3c0D) e notem que funciona perfeitamente. Esta tecnologia é chamada de VTL (Virtual Tape Library).

image[4]

O nome do programa que uso para VTL é o FireStreamer (https://www.cristalink.com/fs/Default.aspx) podendo emular até 8 robos com 255 tapes drives e 60 mil slots!!!

Se quiser baixar o programa para testes ou demonstrações com DPM pode utilizar a trial de 30 dias disponivel no site.

Mas qual a função real de um VTL?

Sua função é permitir backups ”long term” em mídias que não sejam tapes detectáveis pelo DPM ou outros softwares.

Por exemplo, imagine que sua intenção seja criar um backup movél para Blu-Ray ou HD Externo, uma vez que o DPM não enxerga estes dispositivos como library já que midias removíveis não são válidas. Outra necessidade comum é mover o backup para outra localidade e com o backup normal “short term” do DPM não é possivel por ser formato proprietário.

Nestes casos, a solução é usar um VTL e apontar a fita para o dispositivo desejado, que nada mais é do que um caminho de disco local, como mostra a imagem abaixo.

FireStreamer

Veja que no exemplo será emulado 5 Tape Drives com 200 slots ao todo, sendo que adicionei uma fita com apontando que irá criar um arquivo “Fita.bak” no diretório “Tapes”.

É isso ai, com este ou outro software VTL está resolvido o problema de uso de HDs externos para backup!!!

System Center Data Protection Manager 2012 (DPM)–Novidades

Depois de testar o SCOM 2012, SCCM 2012 e SCVMM 2012 consegui instalar e fazer os primeiros testes com o DPM 2012.

Instalação

A instalação do DPM 2012 é tranquila, como já era a dos anteriores, com um menu simples de utilizar e contendo as opções de features autonomas como a instalação manual do agente.

Note que agora o DPM é utilizado com o SQL Server 2008 R2, que pode ser instalado como parte do pacote. A novidade é que podemos usar um único SQL Server para vários servidores DPM já que não é mais utilizado o SQL Express Edition.

DPM-Setup-Welcome

Nova UI

O produto já mudou muito na interface, o que realmente fez diferença. Engraçado como interfaces “clean” são melhores do que as baseadas em Tree View que usávamos muito antes.

Agora temos a interface baseada no layout do Outlook 2010, com a Ribbon e sem as tabs separando os itens de cada menu, que atrapalhava bastante a visualização completa de cada grupo de opções, como mostra a imagem abaixo, destacando os filtros de Jobs e o resumo dos alertas na parte esquerda do menu.

Tela Inicial

Na parte de “Monitoring” também foram feitas as mudanças de UI, onde podemos notar o resumo na lateral esquerda com os agentes, discos e tapes.

DPM-Management

Grupos de Proteção

Achei muito interessante as mudanças nos grupos de proteção (Protection Groups), primeiro no layout que agora tem o resumo dos status na lateral e um indice dos grupos de proteção, o que pode parecer simples, mas sabe quem tem mais de 10 grupos como era dificil navegar nos itens. Note também que a Ribbon tem as funções antes acessiveis apenas pelo botão direito. Destaque também para as novas funções de “Resume Backup” em disco e fitas possibilitando continuar um backup ao invés da opção “Recovery Point” anterior onde escolhiamos “short” e “long” term que nada mais era que disco e tape respectivamente.

DPM-ProtectionGroup

Na criação de um grupo agora é possivel definir diversos agendamentos para o backup “long term” permitindo as politicas anual, mensal e semanal, o que até o DPM 2010 era necessário manualmente copiar as fitas para arquivos permanentes.

DPM-ProtectionGroup-3

Recuperação de Dados

Uma mudança interessante na área de recuperação de dados são e o “Search” na barra lateral, onde podemos agora procurar uma caixa postal dentro dos backups, outro item que nos dava muito trabalho e agora será facilitado.

DPM-Recovery-Search

Relatórios

Por fim, na área de relatórios temos as mesmas funções anteriores, mas agora com a parte de agendamento e envio de email mais claro na barra inferior. Esta é uma funcionalidade importante levando em conta ambiente gerenciados de forma correta com o acompanhamento pelos relatórios recebidos por email.

DPM-Reporting

Outras Novidades

Alem das novidades que abordei acima temos outras citadas no Release Notes:

  • Nâo precisa de Hyper-V no servidor DPM para o backup de VMs com Change Block Tracking e VM Item Restore (ILR)
  • Pode proteger máquinas fora do dominio do servidor DPM com segurança baseada em certificados digitais
  • Gerencia servidores DPM 2010 e 2012 na mesma console
  • RBAC assim como no Exchange para controle de segurança e acesso granular
  • Suporte ao recurso File Stream do SQL Server 2008 R2
  • Configuração de co-location nos tapes

Link para baixar o DPM 2012 e o Release Notes http://www.microsoft.com/download/en/details.aspx?id=27216

Posted: out 25 2011, 16:22 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login
Marcelo de Moraes Sincic | Azure
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Pageviews 2020: 20362854
Pageviews 2019: 4355776
Pageviews 2018: 4296564
Pageviews 2017: 4351543
Pageviews 2016: 3991973
Pageviews 2015: 2675433
Pageviews 2014: 2664208
Pageviews 2013: 2399409
Pageviews 2012: 3209633
Pageviews 2011: 2730038
Pageviews 2010: 1470924
Pageviews 2009: 64608

Últimos posts

Categorias

Arquivo

Tags

Monitorando Azure com o System Center Operations Manager (SCOM)

Muitas empresas utilizam o SCOM para monitorar ambientes on-premisse. Estender essa monitoração para recursos do Azure ajudará a centralizar os alertas e dashboards como cockpits integrados.

Para baixar o Management Pack utilize o link: https://www.microsoft.com/en-us/download/details.aspx?id=50013

Instalando e Configurando o MP

Ao executar o pacote poderá encontrar os 3 arquivos de MPs que deverão ser importados:

1-MP

Na sequencia abra o console e importe os 3 pacotes instalados:

2-Importa

Após fazer a importação dos pacotes poderá atribuir as subscrições que deseja monitorar e isso pode ser feito por atribuir o usuário na autenticação ou criar uma SPN no Azure para servir de aplicação e auxiliar no Azure se necessário procurar os registros ou atribuir permissões especificas.

Esse processo de criação do SPN é automático bastando informar o usuário e deixar que o Wizard faça o trabalho!

4-SPN

3-Assinaturas

Configurando o que será monitorado

Encontre o Management Pack MS Azure Monitoring e escolha qual das subscrições quer monitorar. A recomendação é que crie um novo Management Pack para hospedar os recursos que irá monitorar e facilitar a reconfiguração se for necessário.

Se houver diversas subscrições, será necessário reconfigurar e seguir o processo para incluir no mesmo MP customizado criado para cada uma das subscrições.

5-Novo monitor

6-subscricao

7-recursos

Encontrando os Recursos

O Management Pack cria uma nova pasta em Monitoring com o nome Microsoft Azure com diversos itens, onde poderá ver os diversos tipos de dashboards e relatórios disponíveis.

Em alguns minutos o SCOM já irá coletar os recursos e logo após retornar o status de cada um deles.

8a-Saude vms

8-Saude recursos

Como são diversos recursos e relatórios, poderá visualizar dados de performance, status e definir ou alterar alertas conforme as regras comuns de status.

Posted: out 06 2020, 20:18 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

E-book recursos de segurança e Suporte a LGPD do Microsoft Office 365

Com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados) em 19/Setembro/2020, a procura por produtos que deem suporte a vazamentos de dados se tornou prioritária.

Na prática já deveríamos ter essa preocupação a muito tempo, mas agora com a Lei aprovada é necessário implementar algumas regras.

Sabemos que nem todos os artigos tem a ver com regras técnicas, por exemplo ter metodologias implementadas que comprovem o cuidado que a empresa tem no dia a dia que pode ser ISOs, ITIL e outras que já sejam praticadas e reconhecidas.

Porem a proteção do vazamento por e-mail, ferramentas de IM e até roubo de equipamentos físicos é sim uma caraterística técnica. Sem falar em arquivamento de dados legais que não tem a ver com a LGPD mas sim com normas jurídicas e fiscais (retenção de 7 anos por exemplo).

Sendo assim, quais ferramentas o Microsoft Office 365 contem e podem ser habilitadas?

Nesse e-book abordamos as diferentes ferramentas e pacotes que as contem, lembrando que não é um guia de implementação com telas, mas sim descrição dos recursos.

image

Clique aqui para baixar!

Azure Arc–Gerenciamento integrado Multi-cloud

O Azure Arc é um produto em preview que tem a função de padronizar e permitir utilizar recursos do Azure para gerenciamento de VMs e Clusters Kubernets hospedados em ambientes on-premisse ou outras clouds integrado.

https://azure.microsoft.com/en-us/services/azure-arc/

Computadores

Habilitando o Serviço por Registrar os Componentes

O primeiro passo é acessar as subscrições onde irá hospedar os serviços do Arc.

Uma vez escolhida a subscrição, deve-se registrar os recursos de Hybrid como abaixo.

Em geral o recurso ADHybridHS já estará habilitado e tem a ver especificamente com a sincronização de AD, mas os recursos de Compute, Data e Network precisam ser habilitados antes de incluir recursos:

Registro Provedores

Registrando Computadores e Recursos

Ao criar o recurso do Arc, escolha uma subscrição e um Resource Group para servir de base e que futuramente após o Preview irá ter o débito (se existir) dos serviços.

Logo após habilitar clique no botão Adicionar do primeiro print deste artigo e baixe o script para executar nos servidores. Caso queira abrir o script ele é bem simples e basicamente faz o download de um msi e o executa com os dados da subscrição.

Onboarding

A primeira execução do script mostra a obrigatoriedade de ativar os recursos, que foi o primeiro tópico desse artigo, e será um erro recorrente já que ao habilitar o Arc esse processo deveria ser automático.

Note que na execução do script ele gera um código que deverá ser confirmado no site indicado https://microsoft.com/devicelogin

Registro Servidor

Utilizando Politicas e Iniciativas

Assim que vinculados, já podem ser criadas e habilitadas as diferentes Politicas e iniciativas que serviriam para criar alertas e definir padronização de recursos no que geralmente chamamos de Compliance.

Politicas-1

Por default as politicas acima são configuradas, mas é possivel criar novas para gerar reports de compliance. Para isso utilize as regras pré-existentes que irão facilitar diversos tipos diferentes de alertas como backup, antivirus, ASR, etc.

Politicas-2

Já para as Iniciativas não estamos apenas verificando, mas implementando alguns tipos de padrões como o nivel de auditoria ou requisitos legais/padrões regulatórios:

Iniciativas

Habilitando o Log Analytics

Para que os recursos funcionem corretamente é importante o auxilio do Log Analytics que irá capturar os dados do servidor para gerar alertas e mapas de relacionamento.

Para isso acesse os servidores e clique no aviso na tarja que é exibida e com isso poderá habilitar os recursos para cada servidor ou em Insights. Uma caracteristica interessante é que cada servidor pode utilizar subscrições diferentes ou até workspaces diferentes de Log Analytics.

Habilitar Log Insigths

A partir da integração que irá demorar de 5 a 10 minutos, já é possivel usar os monitores, alertas e até o mapa de relacionamento:

Alertas

Monitor-1

Monitor-2

Mapa

CONCLUSÃO

Em comporações com servidores fisicos, servidores virtuais e maquinas em clous ter a facilidade de integrar as funções de gerenciamento do Azure irá ajudar muito.

Grande parte do trabalho já é possivel no Log Analytics mas de forma passiva. Com a integração simples com as politicas, iniciativas e interface o uso do Azure Arc irá ser uma ferramenta excelente para profissionais de TI com ambientes multiplos de hospedagem.

Possibilitando trabalho remoto em período de Corona Vírus

Nesse período em que muitos colaboradores estão sendo movidos para remote office, que soluções podem ser adotadas rapidamente para isso?

Cenário 1 – Uso de VPN

A primeira solução é o uso de VPNs, onde o colaborador irá acessar de sua casa o ambiente de rede da empresa via internet.

Quais as vantagens?
Esse método é bem interessante por ser rápido de implementar, em geral no firewall que a  empresa já utiliza. O usuário poderá acessar seus e-mails, servidores e aplicações como se estivesse fisicamente dentro da empresa, usando seu computador pessoal. Como utiliza um produto já existente na maioria dos ambiente, o custo é mínimo para habilitar no firewall e muitos fabricantes basta habilitar.

Quais as desvantagens?
O maior risco no uso de VPNs é a falta de segurança advindo de  conexões externas diretas, de equipamentos desconhecidos. Por exemplo, imagine que a maquina do colaborador é a mesma que ele baixa conteúdos da internet, joguinhos e outros. Que garantia eu tenho que não entrará um worm ou vírus por essa conexão? Nenhuma.

Quais soluções posso usar para complementar a segurança?
NAC
(Network Access Control) são protocolos e proteções instaladas no firewall que ao tentar se conectar um script é executado no equipamento remoto para validar se ele tem anti-virus valido, atualizações de sistema operacional, etc por meio de uma regra NPS (Network Policy Service/Server). Porem, os NPSs costumam ser limitados no que podem checar e ai é quando precisamos instalar um agente antecipadamente e só validam no momento de entrada na rede sem validar configurações que possam ser alteradas ou permitam que o equipamento fique desprotegido.
Já a solução de MDM no portfólio de Microsoft é o Microsoft Intune que agora se chama Microsoft Endpoint Management Service por ter se juntado ao SCCM (System Center Configuration Manager).
O Intune é uma solução em nuvem com funções similares ao SCCM, mas com módulos para dispositivos como telefone e tablets. Ele permite que o administrador crie regras de validação para serem aplicadas na máquina do usuário a partir do software de monitoramento e essas regras podem envolver:

• Atualizações de sistema operacional
• Instalação de aplicações corporativas automaticamente
• Regras de Compliance como obrigatoriedade e tipo de senha, uso de recursos compartilhados entre diferentes ambientes no mobile (KNOX e Apple Secure)

• Restrição a troca de informações entre aplicativos classificados como corporativos (copiar e colar)
• Diversas outras regras que variam entre Android, iOS, MAC e Windows
Se integram com vários modelos de NAC físicos

Cenário 2 – Uso de PaaS e SaaS para aplicações de trabalho

Muito conhecido como Modern Workplace essas soluções no portfolio de Microsoft estão no Microsoft Office 365.
Vendidos em pacotes individuais de serviços, pacote Business (até 300) e enterprise (Office 365 e Microsoft 365) possibilitam que um colaborador trabalhe remoto sem qualquer tipo de acesso a rede interna.

Quais as vantagens?
Por terem diferentes modelos de aquisição contratual (CSP por demanda, MPSA e EA com preços fixados) é acessível a todos os clientes.
A segurança dos dados é maior pois o usuário acessa arquivos e email diretamente da Microsoft por meio da internet comum e não tem acesso aos servidores internos da empresa. Por ser um modelo de serviços em nuvem, não precisa de instalações, servidores e infraestrutura local além do TCO de manutenção e operação desses serviços.
Bem, não precisamos falar muito porque hoje já é consolidado o modelo de PasS e SaaS com Exchange, Teams, SharePoint, OneDrive e outros produtos da suíte.

Quais as desvantagens?
Existem poucos pontos negativos, já que aqui estamos tratando de serviços essenciais (email, mensageria, áudio e vídeo conferencia, troca de arquivos). Mas o acesso irrestrito dos dados sem a facilidade de criar regras de segurança que temos com ACL em um servidor de arquivos físicos assusta muita gente... Uma vez que os arquivos estão na nuvem e acessíveis de qualquer lugar e dispositivo como evitar o acesso indevido?

Quais as soluções que protegem o meu conteúdo?
Nesse ponto é que as coisas ficam mais fáceis! No modelo de PaaS e SaaS do Office 365 temos pacotes de segurança disponíveis para qualquer uma das opções tanto contratuais como tipo de pacote:

• Criptografar, categorizar e identificar conteúdo protegido temos o AIP (Azure Information Protection) que é o antigo RMS do Windows, agora em nuvem, que pode identificar por exemplo que um usuários está passando CPFs e Passaportes para outras pessoas dentro ou fora da empresa
• Detectar atividades suspeitas temos o ATP (Azure Advanced Threat Protection) que analisa a atividade no AD local e em nuvem

• Com o CASB (Cloud App Security) Fazer detecções avançadas de uso, integrando aplicações de terceiros e identificando possíveis violações e problemas como logins em diferentes localidades simultâneas ou em deslocamentos impossíveis (chile e Australia em menos de 2 horas por exemplo)
Permitir a criação de regras de acesso e login (similar ao NAC) com o AD Premium, que também possibilita relatórios detalhados de atividades

Esses recursos citados são os que cobririam a segurança do acesso aos dados da empresa em qualquer dispositivo!

Cenário 3 – Virtual Desktop

Solução já muito conhecida, pode ser implementada em modelo de acesso direto a aplicativos a partir de servidores (RDS) ou maquinas virtuais independentes para os usuários (VDI).

Quais as vantagens?
Nada está fora da empresa, não existe troca de dados via internet.
Nesse modelo, os dados são acessados de dentro da empresa, uma vez que o usuário irá ver a tela do servidor ou de sua VM pessoal que está na infraestrutura e rede da corporação.
Então o acesso aos dados é muito controlado e 100% similar ao que o colaborador estaria vendo e fazendo sentado na sua mesa de escritório.

Quais as desvantagens?
Custo, tanto de equipamentos quanto licenciamento.
Para montar uma estrutura de RDS (Remote Desktop Service) é possível usar direto o Windows Server e ter um custo bem mais atrativo ou soluções como VMWare Horizon e Citrix.
Já para a solução de VDI (Virtual Desktop Infrastructure) temos um alto custo, já que para cada usuário logado é necessário ter uma VM Windows 10 ativada.
Sendo assim, se houver 200 usuários remotos será necessário ter 200 VMs ativas em servidores físicos, que acabando o surto deixariam de ser necessárias.

Quais alternativas para a falta de Hardware nesse momento de isolamento?
A Microsoft possui um serviço chamado WVD (Windows Virtual Desktop) que é um VDI hospedado, com a vantagem de ser escalável podendo ir de 1 a 25.000 VMs em minutos! Esse serviço é aberto a todos os clientes por meio de uma conta no Azure e o licenciamento de Windows Enterprise com SA ou Windows E3 que é subscrição.
Usuários que já tem o Microsoft 365 (exceto F1) já estão habilitados, uma vez que o M365 E3 e E5 incluem o licenciamento de Windows Enterprise.
E para os que não tem, pode fazer a subscrição de licenças Windows E3 no modelo CSP mensal, onde irá pagar apenas pelo que ativar de WVDs.

Azure Sentinel - Conheça esse novo produto de segurança agora disponível

O Azure Sentinel já estava em Preview a algum tempo (desde março) mas já se mostrava um produto bem interessante https://azure.microsoft.com/pt-br/blog/azure-sentinel-general-availability-a-modern-siem-reimagined-in-the-cloud/?wt.mc_id=4029139

Sua função é analisar os dados coletados pelo Log Analytics e gerar dashboards, reports e alertas customizados com base no Machine Learning.

Nesse primeiro post vamos falar da configuração inicial do Sentinel e seu custo.

Nota: Em um segundo artigo falaremos dos Incidentes (casos), Busca, Notebook, Analise e Guias Estratégicos.

Como Habilitar o Azure Sentinel

Para criar uma instancia do Sentinel é necessário ter o Log Analytics (antigo OMS) habilitado e executando. Se você não o conhece, pode ver o que já abordamos anteriormente em http://www.marcelosincic.com.br/post/Operations-Management-System-(OMS)-agora-e-Azure-Log-Insights.aspx

Não é necessário fazer toda a configuração do Log Analytics, dependerá do que você irá analisar. Por exemplo se analisar DNS mas usa o Azure DNS, Office 365, Azure Activity e outros recursos que já fazem parte do Azure os dados são analisados sem a necessidade de agentes.

Por outro lado se for analisar threats de segurança em geral, login e logoff de AD e segurança de ambiente é necessário ter o agente instalado no Windows ou Linux para coleta dos dados de log.

Uma vez criado o workspace do Log Analytics já é possivel fazer o vinculo.

Sentinel

Com o workspace aberto já é possivel ter um overview dos dados coletados, nada muito sofisticado mas o suficiente para acompanhar o que está sendo analisado

2-visao geral

Ao clicar em qualquer um dos itens resumidos pode-se abrir o log do que gerou os alertas ou anomalias

3-Detalhes

Como Definir o Que Será Analisado

No console do Sentinel é possivel ver a aba “Conectores” onde temos diversos conectores já criados e disponiveis, alguns como preview e indicados quais já foram vinculados.

4-Conectores

Veja no ultimo item que a cada diferente conector o custo passa a ser vigente, ou seja conforme o numero ou tipo de conector haverá a cobrança do processamento dos dados.

Para cada conector é necessário abrir a pasta de trabalho e configurar a conexão, por exemplo se for Azure indicar a subscrição e se for Office 365 o usuário para logar e capturar os dados. Como cada um dos conectores tem wizard é um processo bem simples de ser realizado.

Consumindo os Reports e Dashboards

Na aba do Sentinel veja a opção “Pastas de Trabalho” onde podemos escolher quais os dashboards que queremos deixar disponiveis ou criar os seus próprio.

Por exemplo se eu clicar no conector de Exchange Online posso exibir ou salvar a pasta de trabalho com os seus reports já prontos.

5-Pastas de trabalho

No caso acima veja que a opção de Salvar não aparece e sim a Excluir, uma vez que já salvei anteriormente como um dos dashboards (pasta de trabalho) mais utilizados.

Ao clicar em Exibir podemos ver os detalhes do dashboard de analise de Identidade que fornece informações de login e segurança do meu ambiente

6-Minha Pasta-1

6-Minha Pasta-2

6-Minha Pasta-3

6-Minha Pasta-4

O nivel e detalhamento dos dados nos fornece uma visão real do que está acontecendo em determinado item de segurança conectado.

Compartilhando e Acessando os Reports (Dashboards)

Na mesma aba de “Pastas de Trabalho” mude para “Minhas pastas de trabalho” e poderá ver os que já salvou anteriormente ou customizou.

Neste exemplo já estão salvos 7 pastas (1 é customizada) com 31 modelos. As pastas são customizadas ou as já importadas dos modelos, enquanto o numero de “31 modelos” é porque um mesmo grupo de conectores tem mais de uma pasta, como é o caso do Office 365 que tem um conjunto de 3 diferentes reports.

7-Pastas de trabalho-Salvas

Ao acessar um dos reports é possivel ver o botão “Compartilhar” onde podemos gerar um link e enviar a outros ou utilizar para acesso fácil

8-Compartilhar

Já para “pinar” ou fixar no painel inicial do portal do Azure um atalho utilize o icone de pasta na tela de preview e a opção “Fixar no painel” como abaixo

9-Pinar

Quanto Custo o Azure Sentinel

Sabemos que os recursos de Azure são em sua maioria cobrados e o Azure Sentinel já tem seu valor divulgado em https://azure.microsoft.com/pt-br/pricing/details/azure-sentinel/

A primeira opção é adquirir em pacotes de 100 a 500GB por dia em modelo antecipado iniciando ao custo de $200/dia. Claro que o modelo antecipado é mais barato, mas só é útil se você consumir 100GB por dia, o que daria $7200/mês.

A segunda opção e util para quem irá analisar menos de 100GB por dia é o modelo de pagamento pós-uso ou por consumo ao valor de $4 por GB analisado.

Para saber o quanto está sendo analisado, veja a segunda imagem nesse artigo onde temos o total de dados “ingeridos”.

Importante: Se você coletar dados do Log Analytics o valor deve ser somado, já que o Log Analytics é uma solução independente.

Posted: set 30 2019, 00:31 by msincic | Comentários (0) RSS comment feed |
  • Currently 5/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login