利用 OMS 管理 Linux 現在已正式發佈

微軟發佈了用於 Linux 的 OMS Agent,其建立在 open source,FluentD 上。用於 Linux 的 OMS Agent 能夠讓您對於 Linux 伺服器有企業級的管理,並能夠將 Syslogs、Nagios + Zabbix 警示、50+ 即時表現指標 、和 客戶應用數據 集結在 Log Analytics 的平台上。 用於 Linux 的 OMS Agent 能夠讓您: 集中並掃描網路設備數十億的 syslog 事件。 視覺化並監控數百台機器的 Linux 即時程序表現。 透過任一 300+ FluentD 插件導入客戶應用數據。 利用 Nagios 和 Zabbix 警示集中您現存的監控基礎設施。 利用 CollectD 和 StatsD 加入您現存的性能收集器。 以下連結是一支介紹用於 Linux 的 OMS Agent 的影片:…

0

利用 OMS 收集 SNMP 資料

概要:學習如何利用 OMS 收集 SNMP 的資料。 收集 SNMP 資料 簡單網路管理協定 (Simple Network Management Protocol, SNMP) 是一個為監控和配置設備而廣泛部署的管理協議標準。雖然較高等級的管理協定和保護程序通常用於伺服器,但 SNMP 仍是一個用來監控設備的可行選擇。 SNMP 資料可以用以下兩種方式收集:利用 “polls" – 管理系統將會探查 SNMP agent 以收集特定屬性的數值;利用 “traps" – SNMP agent 將會轉發事件或是通知到管理系統。traps 通常用於事件通知,而 polls 則適用於健康狀態檢測或收集性能指標。 無論是利用 polls 或 traps,SNMP 都是用物件識別碼 (Object Identifier, OID) 來標示。物件識別碼是在供應商提供的管理資訊庫 (Management Information Base, MIB) 文件中被定義或描述。 有了適用於 Linux 的高可擴展性 OMS agent,您可以從 polls 和 traps 收集 SNMP 資料並與 OMS…

0

Azure SQL 分析方案 – 預覽

Microsoft Azure SQL 資料庫是一種可擴展的關係數據庫服務,它為在 Azure 中運行的應用程式提供如同 SQL Server 的功能。Azure SQL 分析是 OMS 洞察力與分析(Insight and Analytics)的一部份,它收集並視覺化重要的 SQL Azure 性能指標,讓使用者能夠很輕易的在定義的環境下建立自定義的監控規則和提醒。這個方案,目前在 Public Review 階段能夠讓您監測多個不同的 Azure 訂閱、資源、和 elastic pools。更重要的是,您還可以在您應用程式堆疊的各層中定義事件。 利用 Azure SQL 分析方案,您可以從 Azure SQL 資料庫和 elastic pools 捕捉指標(橫跨訂閱和 elastic pools),並將其視覺化後顯示在 OMS 中。這個方案擷取了 Azure 診斷指標 和 記錄分析的觀點來呈現您在單一紀錄分析工作區裡 Azure SQL 資料庫和 elastic pools 中的數據。 前提 Azure 訂閱 (若尚未訂閱,您可以 免費建立 Azure…

0

利用 OMS 監視 Azure 容器服務中的容器

Azure 容器服務提供能夠預建立的容器部署基礎架構平台,並可選擇包含 DC/OS 和 Docker Swarm 的協調器。在微軟對於 Azure 容器服務的初步努力下,將解決方案集結成如同 DC/OS Mesosphere Universe 的一部份。 客戶使用 Azure 容器服務 DC/OS 的更多好處 因為容器在任何時間被建立或摧毀,使監視 Docker 容器成為一個難題。當您擴展環境或是增加容器時,容器監視的問題變得更加困難。 有了 Azure 中的 OMS 容器方案搭配 Azure 容器服務 DC/OS,Azure 容器服務 DC/OS 中的 Docker 容器可以在一個集中區域被監視。它為客戶提供容器性能指標、記錄分析、映像清單、和事件。 這只需幾個簡單的步驟就能做到。首先點選 DC/OS Universe 中的 package,如下圖: 在配置時,用於 Linux 案例的容器化 agent 會被安裝在私有和公有的 agent 上。當  Azure 容器服務 DC/OS 環境擴張時,監視案例也會擴張,所以您不需要每次都重新安裝。 現在同時支援 Azure 容器服務 DC/OS 1.7.3 和 1.8.4…

0

過濾 OMS Security 收集的安全性事件

OMS Security 會從 Windows Security、App Locker、和防火牆事件記錄收集所有事件。因為 OMS 是一個巨大的數據服務,所以它能夠處理很大量的數據,而客戶也不需要小心的過濾他們的事件來決定要儲存哪些。但是在一些特別的情況下客戶仍然需要減少被收集事件的體積。 現在 OMS 提供一個新的功能,能夠藉由選擇事件集過濾收集的事件。我們想要平衡對於降低事件體積的需求與保持足夠的資訊量來投資、稽核、和偵測威脅。我們也希望能夠建立簡單的機制來讓客戶選擇正確的過濾政策而無需維護無止盡的事件ID列表。 有了這個新的功能,OMS Security 允許選擇四種事件集並由 agent 收集事件記錄。包含: 所有事件:針對想要確保所有事件都被收集的客戶。這是一直以來 OMS 的預設方式。 一般:這是一個能夠滿足多數客戶的事件集,並且能夠完整的審計與追蹤。 最小:一個較小的集合,提供給希望能減少事件體積的客戶。 無:禁止 Security 和 App Locker 收集安全性記錄。選擇此集合的客戶,在安全性儀表板中將只會看到 Windows 防火牆記錄和像是反惡意軟件、基準、和更新等的主動評估。 這四種的宗旨是來解決典型的情況,確保在實施前評估哪一種符合您的要求。 要選擇任一種集合,先在 安全性與稽核 中點選 設定: 為了決定事件是屬於哪個集合,微軟與數十個客戶、行業合作,並處理了他們提供對於每個事件未過濾的頻率和用量的統計資料。其中是利用以下指南來處理資料: 確保最小的集合只涵蓋可能表示成功違約的事件和擁有非常小體積的重要事件。例如,此集合包含使用者成功和失敗的登錄(事件ID 4624, 4655),但不包含登出,因為登出對於審計是重要的但對於檢測沒有意義,且具有很大的體積。此集合大部分的記錄體積都在登錄事件和程序建立事件(事件ID 4688)。 在一般集合中提供完整的審計追蹤。例如:此集合同時包含了使用者的登錄和登出(事件ID 4634)。我們還包含一般集合的審核操作,像是安全性群組更改、key domain 控制器、Kerberos 操作、和其他由行業組織推薦的事件。 具有非常低體積的事件被包含在一般集合中,並在所有事件中選擇其作為主要動機以減小體積並且不過濾掉特定事件。 以下是不同集合 Security 和 App Locker 事件ID的完整細目: 除了提供過濾選項外,微軟也致力於增進事件記錄的解析和索引功能。對於頻繁的事件,能夠確保所有屬性都被提取和索引。為了減少這些事件的體積而刪除了包含未解析的 XML 的 EventData…

0

利用服務對應進行自動關聯性偵測與對應 – 預覽

現在服務對應 Service Map (也就是應用程式關聯性監視)已開始提供預覽。接下來將會介紹一些服務對應所提供的功能,像是自動化偵測和在無需任何預定義下,即時對應伺服器與過程關聯性。 自動化關聯性的對應 服務對應會找出所有在您在 Azure、第三方雲、或地端資料中心中 Windows 或 Linux 虛擬機器的 TCP 連接過程。它能夠看到每個連接點過程的 IP 和連接阜,接著它會建構直觀的、即時的、且有歷史的拓樸圖。如下圖: 這些都無需預定義,服務對應會偵測任何 TCP 連接過程之間的關聯性。利用服務對應,不僅可以看到在您的環境中連接到其他系統,還會看到連出到第三方的服務,以確保您可以完整瞭解您的系統正在與誰溝通。 加速故障排除與分析根本原因 除了提供自動化關聯性的偵測與對應之外,在與 OMS 中其他功能像是記錄分析警示、追蹤變更、安全性、和更新管理等做結合時,服務對應也加速了故障排除與並具有分析根本原因的功能。在下圖中,您可以看到服務對應如何與記錄分析警示結合,並且在拓樸圖中顯示出在受監視的虛擬機器中哪處會發生事件: 除了與警示做結合外,服務對應能夠即時告訴您在環境裡,無論是在軟體、註冊、或是檔案中,是否有重大改變。服務對應與追蹤變更數據做結合,以便表面上改變您系統關聯性中的事件和故障排除的工作流程。如下圖: 服務對應也提供可視覺化的畫面查看您虛擬機器中的重大安全事件,並與更新管理做結合。 加速遷移方案 除了加速故障排除與分析根本原因,服務對應幫助加速您應用程式和工作量的遷移方案,並加速遷移至雲端的速度。服務對應幫助您消除對問題隔離的猜測、識別您環境中突發的連結或斷開的連接、並執行 Azure 遷移,了解重要系統和端點不會被遺留。下圖範例中建立了一個 Power BI 的遷移報告,其中利用了可以在組織之間分享的遷移計畫的服務對應 API。 開始使用 您可以在此連結找到服務對應的詳細資訊,以下提供快速的導覽: 1. 確保您的 OMS 工作區是已註冊在定價計畫中,並確認洞察與分析(無論免費或付費)已被加入。Note:服務對應目前只在美東地區可用。 2. 前往 OMS 方案庫,將服務對應的方案加至您的工作區。您可以使用免費的方案,可使用最多五個端點連接並傳送資料。若您已經使用付費的洞察與分析方案,您的服務對應可以配合任一個認證。 3. 成功加入服務對應方案後,在 OMS 概觀中點選服務對應,並下載 Windows 或 Linux 的關聯性 agent: 4. 或是在 Azure 入口網站中,選取您的記錄分析工作區,點選服務對應,即可看到 Windows…

0

OMS 反惡意程式軟體評量開始支援更多反惡意軟件供應商

概要:OMS Security 中的反惡意程式碼軟體評量方案(Antimalware assessment solution) 現在已支援 Symantec Endpoint Protection 和 趨勢科技的 Deep Security。這次的服務更新增加了以下兩項功能:評估伺服器是否受到這些供應商反惡意軟件方案的保護 和 這些方案是否可執行。OMS 反惡意程式碼軟體評量方案的儀表板現在已經可以看到此項功能。 Microsoft OMS Security 藉由增加對反惡意軟件合作夥伴方案的支援來增進其反惡意軟件評量的功能。當受監視的伺服器被 Symantec Endpoint Protection 或趨勢科技的 Deep Security agents 所保護,這次的服務更新增加了檢測的功能。此版本新增了檢測所支援的 Symantec Endpoint Protection 12.x 和 14.x 版本和趨勢科技 Deep Security 9.6版本的功能。 除了偵測這些合作夥伴的方案何時被安裝之外,一項用來判斷這些 agent 的保護是否可操作的額外評估也同時完成。更特別的是,OMS Security 會測試在受監視伺服器上來自這些供應商的反惡意軟件 agent 是否: 被啟用 定期執行掃描 使用不超過七天的簽名 這讓您能夠計畫或確保在您地端的伺服器都是被充分保護的。OMS 中反惡意程式碼軟體評量的儀表板已經更新到能夠回報針對反惡意軟件合作夥伴方案的評估。 反惡意程式碼軟體評量的儀表板將惡意軟件評估的資訊分為四種項目: 威脅狀態 偵測到的威脅 保護狀態 保護類型 被這些第三方反惡意軟件方案所保護的受監視伺服器會被顯示在保護類型的方塊中。在此案例中總共有3個伺服器是利用 Symantec Endpoint Protection 而1個是利用趨勢科技的 Deep Security。…

0

什麼是 OMS 安全性威脅情報及我為什麼需要它?

組織機構通常透過強化防禦機制來保護自己的系統不被競爭者入侵。當各家公司都獨自奮戰的同時,威脅情報提供了一個方式利用其他組織和安全研究人員的知識來使防禦更加有效。現在無需額外的工作或是付費,OMS 安全性與稽核中就提供了威脅情報的功能。 如果分析正確,威脅情報正在轉移模型並縮小安全事件的範圍,而安全團隊可以針對這些安全事件做出更好更明智的反應。OMS Security 中的威脅情報是基於威脅情報供應商的龍頭和微軟本身在防禦雲端時收集的數據。微軟擁有世界最大的雲端服務,這使它能夠實現對威脅格局的獨特見解。從數十億的來源得到的無數資訊所得到的見解,建立了安全性情報圖來顯示如何保護端點、更好地偵測攻擊和加速反應,目的是為了讓客戶能夠利用此知識來保護他們的資源。 威脅情報透過不斷傳遞實時情報到記錄數據來強化 OMS 的安全性與稽核。這並不是另一個不好的 IP 位址的清單或是其他存入您解決方案中的指標。雖然這些威脅情報很重要,但要了解組織、執行者和動機也是至關重要的。您將會發現 OMS 中的威脅情報是多以證據為基礎的知識,包含上下文、基址、指標、影響和針對您現有資產中存在或會出現的威脅的可執行建議。 下圖是 OMS 中威脅情報的概觀: 威脅情報在 OMS Security 中扮演了幾個角色。第一個是接近實時的提取記錄和威脅數據的相關性。這使安全團隊能夠確定哪件事情是最重要的並且花更多心力在事件管理功能上。在下圖您可以看到 IIS 記錄的搜尋範例,其內容因為具有威脅情報(從被標視為惡意 IP 位址所傳來的請求)而變得較豐富: 另一方面也能夠幫助了解是誰在針對組織並增進企業之間的溝通。 OMS 安全性與稽核中的威脅情報儀表板讓您能夠瀏覽不同的威脅: 在某些情況下,它會允許您下載包含特定對手詳細資訊的完整報表,其中包含它的共同目標、攻擊方法、控制架構、攻擊案例和妥協的附加指示。 OMS 中的威脅情報會幫助您找出是誰在攻擊並解決他們所造成的後果: 威脅情報數據從可靠的來源匯總並互相關聯以達到準確、準時、和完整。 視覺化的表示方法來瞭解威脅情報 能夠句還來自幾乎每個來源的資訊,並且將數據與威脅情報相關聯以提供具有妥協指示事件的完整圖表。 想瞭解更多如何使用此功能請參考:在 Operations Management Suite 安全性和稽核解決方案內監視及回應安全性警示。  

0

在 OMS 檢視 Agent 的健全程度

您可以透過 Agent Health 方案來監測在 OMS 中 Windows 或 Linux 伺服器的 agent。您可以利用 agent heartbeat 事件來監測 agent 的性能、可用性、和地理位置。若您已經有 SCOM agent 或是 direct agent 連結到 OMS,它將會自動產生並收集這些 agent 的 heartbeat 事件。最重要的是,它不會計入您的數據量中。 首先,前往記錄搜尋(Log Search),並輸入 Type=Heartbeat: 現在你可以看到有安裝 Windows 或 Linux agent 的電腦或伺服器清單。包含下列項目: 項目 簡介 Category Direct agent, SCOM agent, SCOM management Server Computer 電腦名稱 OSType Windows 或 Linux。 OSMajorVersion 作業系統的主要版本。 OSMinorVersion 作業系統的次要版本。…

0

利用 OMS Security 來評估安全配置基準

對惡意攻擊者最好的防禦就是確保伺服器的作業系統得到良好的強化並使用內建的安全功能。伺服器的作業系統擁有廣泛的安全措施,有些是在默認情況下啟用,而有些是為了符合現實中各種情況因此在默認情況下被停用。 微軟與世界上各國的企業及政府組織定義了一個代表高度安全性伺服器部署的 Windows 配置。這項配置是一組隨著微軟建議數據的註冊金鑰、審計策略設定、和安全策略設定。這些規定就是 安全性基準(Security Baseline)。可查看以下連結瞭解更多: Windows 安全性基準 微軟安全指南 有很多工具可以管理安全性基準,其中最常被使用的工具就是能夠生成組織策略並強制執行基準的 Microsoft Security Compliance Manager。 現在,Microsoft Security Compliance Manager 已經被放入 OMS 的安全性與稽核(Security and Audit)中。由於 OMS 是一種雲端服務,您可以無縫掃描所有電腦的合規性,且無需額外的工作就能管理雲端的所有結果。此功能適用於所有 OMS 安全性與稽核的客戶,且無需明確開啟或是安裝任何東西。 OMS 的 agent 也因為這項評估而被擴展。這同時適用於使用 OMS Direct agent 的客戶和透過 SCOM 使用 OMS 的客戶。Agent 會每天一次確認規則的組成設定並評估結果。它為 OMS 工作區增加了每個規則的狀態數據和每個評估的摘要。 安全性基準儀表板 在 OMS 安全性與稽核方案中包含了一個反映出 Baseline 結果的儀表板: 在此儀表板,你可以看到: 在工作環境中,哪台機器有最多失敗的規則 哪個規則失敗最多次 哪些機器因為作業系統不相容或是其他故障導致沒有被評估   查詢安全性基準的結果 所有結果都以以下兩種形式被存在 OMS: SecurityBaseline 每個記錄都代表了一台電腦上的一個基準規則評估,並包括了規則上的所有資料、預期結果、和實際結果。…

0