Good news everyone! We are under brute force attack!

The title is a tribute to Professor Farnsworth… I mentioned it because my jokes usually never land… And just to make it clear, this post is not a guidance on what to do in case of brute force attacks (bummer… eh?), it is a just testimony of my recent experience with the topic and how…


設定 OMS 警示來偵測可疑的可執行文件

概要:學習如何跟著步驟設定警示來偵測可疑的可執行文件。 可疑的可執行文件警示 Security Event 8002 在處理執行時就會回報。此事件回報了許多有用的資訊像是 path、process name、file hash、甚至是 FQBN。 Note: FQBN 是 Fully Qualified Binary Name 的縮寫,它是一個字串包含了:publisherproductfile nameversion。 一個簡單回報 Security Event 8002 的搜尋指令如下: Type=SecurityEvent EventID=8002   接著要加入FQBN。OMS 記錄搜尋對指令是很敏感的,因此在輸入指令時有兩點需要注意。首先,必須輸入正確的大小寫: Fqbn,若輸成 FQBN 將會跳出錯誤,如下圖:   再者,* 這個符號被視為是文字字符,而非通用的字符,因此若執行下圖的輸入,雖然不會造成錯誤產生,但也無法成功搜尋到資料:   正確的指令應為: Type=SecurityEvent EventID=8002 Fqbn = *MICROSOFT* Note: MICROSOFT 也是一個敏感的字,若輸入 *Microsoft* 將不會回傳任何資料。 執行結果在左側詳細資料中並不會顯示 Fqbn。要顯示出 Fqbn,需先點擊左下角的 [+新增],接著在列表中找到 Fqbn 並勾選: 完成後按下右上角的 x 即可在左方看到配對 *MICROSOFT* 的 Fqbn 總覽。如下圖: Measure…


Export all alerts created in a OMS Workspace to csv

Hi all, Today I bring you a little script for exporting all the alerts you have created in a OMS workspace, this is useful for alert management and for having documentation about it’s configuration. It creates a CSV like this: When you run it, it will list all the alerts it is getting. Be patient…

1

OMS 中依據需求的指標之集合和視覺化

概要:在 MS OMS 中依據需求對任何指標數據做集合並將其視覺化。 隨時間依據需求的指標集合 有了接近即時的性能數據的收集,您可以收集並視覺化任何 OMS 中的性能計數器。在記錄搜尋中輸入:Type:Perf ,將會回傳上千個基於您 OMS 環境中的計數器和伺服器數量的指標圖表。有了依據需求的指標集合,您可以在更高處查看總體指標,並依需求深入瞭解更多資訊。 現在假設想要知道在您所有電腦的平均 CPU,一台一台查看每台的平均 CPU 是沒有太大的效果的。想要查看細節,您可以將您的結果集合成一個小的時間視窗,並依據不同比例和時間序列來查看。例如,您可以呈現出您所有電腦每小時的平均 CPU 用量,指令和結果如下: Type:Perf CounterName=”% Processor Time” InstanceName=”_Total” | measure avg(CounterValue) by Computer Interval 1HOUR 這個方法有多種好處。首先,您可以輕易的比較多台電腦並查出哪台有問題。再者,您可以看到在哪個時間間隔電腦遭遇到問題(例如 CPU 尖峰)。也就是說,您可以一眼看到多種不同的問題以方便您做故障排除。 圖表是互動式的,您可以藉由點擊和拖拉圖表來放大查看有興趣的區域。 在您放大之後,只需點選  Reset Zoom 便會回到原始的畫面。 您也可以隱藏特定的類別,只需點擊下方該類別的圖示即可。 隱藏後只需再次點擊該圖示便會重新顯示。 若您想要詳細查看數據的特定圖表(例如:電腦。),您可以點擊圖示旁的搜尋圖標,便會自動跳到特定的圖表。 您也可以依其他領域分組。在此範例中,將會搜尋特定電腦的所有 % 計數器,並查出每小時每個計數器的 70 percentiles。指令和結果如下: Type:Perf Computer=beefpatty4 CounterName=%* InstanceName=_Total | measure percentile70(CounterValue) by CounterName Interval 1HOUR…


利用 OMS 記錄搜尋功能來回報自訂的 OMS 警示

搜尋警示 大家應該都知道可以利用 OMS 記錄搜尋功能來搜尋警示,但除此之外,此功能還能搜尋自訂的警示。如此一來便能依照自己的需求列出一段時間內自訂警示的結果。 若想要警示,可以利用以下指令: Type=Alert 此搜尋為通用搜尋警示的指令,執行結果如下:   若我想要搜尋我自訂的 OMS 警示,只需在指令後方加上來源即可。利用關鍵字  SystemSource 並指定來源是 OMS。指令如下: Type=Alert SourceSystem=OMS 執行結果如下:   現在瞭解如何搜尋自訂的警示後,還可以再增加指令過濾以查看更深入的資訊。 例如,若我想要深入查看我昨天寫的 Suspicious Executables 搜尋,只需在指令後加上關鍵字 AlertName 並讓其等於 “Suspicious Executables”。指令如下: Type=Alert SourceSystem=OMS AlertName:”Suspicious Executables” 執行結果如下:   此指令的其中一項好處是,它會回傳用來建立警示的指令並將其放在第一位,而這是一個很好的故障排除技巧。  


Métodos para "controlar" Active Directory

Esta entrada viene a resumir una conversación con un responsable de seguridad que me pedía que le explicase como podría “auditar” el uso de su Active Directory. Según iba avanzando la conversación, entendía mejor el contexto y lo que se perseguía y proponiendole tres métodos, no excluyentes entre sí y que creo que pueden servir…


故障排除 OMS 中的問題

微軟發佈了一個知識庫文章,其描述的內容包含一系列用於 OMS 中 Operations Manager 的客戶端附加模式和 Direct Agent Access的步驟、程序、和故障排除方法。 其中包含了以下幾個項目: 作業管理員註冊錯誤 說明當您註冊作業管理員 (OpsMgr) 管理群組,可能會遇到的兩個錯誤訊息。 Proxy 登錄或組態步驟 說明如何設定要讓傳輸作業的見解 proxy 伺服器 (如果您有的話)。 確認登錄後的進行部署 整合式的作業管理員附加模式以及直接連線的代理程式,請提供疑難排解步驟。也說明如何檢查資料流,以及尋找常見的錯誤,以及如何修正它們。 其他已知的問題及因應措施的作業管理員 描述其他從作業管理員作業的見解 onboarding 相關的其他問題。 詳情請參閱:如何疑難排解作業管理套件 onboarding 問題。


Extending OMS with SCCM Information

Brad Watts here to talk with you today about extending OMS with SCCM information. Microsoft Operations Management Suite (OMS) is a very powerful cloud based tool. There are bunch of out of the box solutions like Alert Management, Active Directory Assessment, SQL Assessment, Update Compliance, etc.. We’re not going into details of what OMS is…


在 OMS 中尋找警示

概要:學習如何在 OMS 記錄搜尋中指定警示種類,和如何利用各種領域快速分析數據來過濾警示。 首先您可以在 警示管理 看到您的警示概觀:   除了看到概觀外,您可能會想更深入查看特定的警示,所以就像 OMS 中其他項目,您一樣可以利用記錄搜尋來深入了解。 利用警示種類 首先,打開 OMS 中的記錄搜尋。利用 Type = Alert 來搜尋警示種類,此範例還過濾出沒有關閉的警示,指令如下: Type=Alert AlertState!=Closed 執行結果如下圖:   過濾警示結果 從以上結果可以看到回傳從過去一天內的1000筆結果。這個數量有點太多,因此需要再進階過濾來減少結果數量。您可以點選一個結果的 [+]顯示較多 來查看要哪個項目過濾。   此範例過濾出 AlertSeverity 為 Critical 的結果,指令與結果如下: Type=Alert AlertState!=Closed AlertSeverity=Critical   接著,您還可以再根據另一個項目進階過濾。如此範例再過濾出 AlertName 為 High CPU 的警示。如以下指令和結果: Type=Alert AlertState!=Closed AlertSeverity=Critical AlertName=”High CPU”   除此之外,您還可以再根據不同的過濾條件加上額外的指令。依照以上的範例,您可以輕易的依照需求搜尋出有興趣的警示結果。


在 OMS 中建立自訂的閾值

概要:學習如何在 OMS 設定自訂的監視閾值。 配置客製化警示的簡易方法 首先,在 OMS 概觀中點選 我的儀表板,如下圖: 進入後,可以在左上角看到 自訂 的圖示:   以下以自訂事前建立的 MyBlankPasswordQuery 為例: 從 我的儀表板 中找到 MyBlankPasswordQuery 的磚,看到此磚在畫面中後點選 自訂。如下圖: 換成數字視圖 若想要換成數字視圖,只需直接在畫面右側自訂欄位中點選 Tile Visualization 下方的數字圖示。點下後您可以看到兩件事: Tile Visualization 下方的數字圖示被框成藍色。 MyBlankPasswordQuery 磚的視圖從圖形轉為數字。 如下圖: 為警示設定閾值 若想為警示設定閾值,在畫面右側自訂欄位中,依照以下步驟執行: 在 Threshold 下方,點選 On。 選擇要在 超過(over) 或是 低於(under) 某數值時警示。 設定該數值。 次此範例設定超過 12 個空白密碼就會警示。如下圖:   最後要儲存變更,只需再次點選左上角的自訂圖示即可。現在若 OMS 偵測到超過12個空白密碼,就會將數字轉為紅色,從上圖可以看到其中一個磚的數字24是紅色的,這就代表此數值已經超過自定的閾值。