透過您需注意的問題來延伸 OMS 安全性

概要:學習如何建立您自己需注意的問題來配合您的商業需求。 OMS 安全性與稽核方案會強調需注意的安全性問題。管理員需要注意並測試這些問題。有些問題是很常見的,像是正常商業節奏的一部份可能發生標準配置的改變。其他稀少的事件可能代表惡意的活動,像是偵測一個安全性記錄被刪除。 OMS 安全性與稽核方案有很多內建的需注意的問題。雖然這些是一個很好的開始,但很多組織仍會想延伸和加入一些具有特殊邏輯或是特定優先順序的需注意的問題。 您可以將任何 OMS 搜尋指令轉換為一個安全性與稽核的需注意的問題,只需將其儲存到以下三種搜尋類別的的其中一類中: Security Critical Notable Issues Security Warning Notable Issues Security Info Notable Issues 在您將搜尋指令儲存到一個類別後,它便會顯示在安全性與稽核方案中的需注意的問題區塊。 以下是步驟: 1. 開啟 OMS 記錄搜尋頁面,按下左上方的 我的最愛。在此頁面,您也可以測試預先配置好的一些指令。   2. 在您定義好搜尋後,將其儲存到需注意的問題的一個種類中。   3. 從現在起,新的指令便會出現在 OMS 安全性與稽核方案儀表板的需注意的問題中。   4. 若您想要將此指令刪除,只需到記錄搜尋的我的最愛,找到要刪除的指令,再按下其右方的 [X] 即可。 Note:您無法刪除預先配置的指令。

0

Azure Application Insights 企業方案添加至 OMS 訂閱中了!!

OMS 更新:購買微軟 OMS E1 和 E2 的客戶,可以取得 Application Insights 企業方案作為額外的元件,無需再付其他費用。 具體來說,OMS  E1 和 E2 的每個單元包含一個 Application Insights 企業方案節點權利。每個 Application Insights 節點每日最多有 200 MB 的內嵌資料(獨立 Log Analytics 資料擷取),且資料可免費保存 90 天。 欲了解更多 Azure Application Insights 的資訊,請點此篇文章。

0

容器管理解決方案正式發布

我們在8/23公布了 Log Analytics 中容器監控解決方案的正式發布版,這次新增了一些新的功能,讓您可以更深入了解您的 Kubernetes 叢集。您可以從 OMS 方案庫裡,或 Azure 首頁上的 Azure Marketplace 獲得此容器監控解決方案。欲知詳情,請閱讀 Azure blog 中的公告。

0

OMS 記錄分析 Forwarder

概要:在沒有網路連線的情況下在 OMS 中查看從您的設備收集的數據。 此篇文章將討論新的 OMS Log Analytics Forwarder 和您可以如何運用它來運許您被 OMS 管理的設備(Windows 或 Linux)能夠傳送數據到一個有連接網路的中央伺服器。 許多企業現在面臨的問題是無法在沒有網路的情況下從伺服器和客戶端收集資料。但是有了 OMS Forwarder,您可以從設備上安裝的 agent 傳送數據到 OMS。如此一來,所有 agent 的數據都透過單一一台安裝了 OMS Fowarder 並且有連接到網路的伺服器來傳送。在這個情況下,Forwarder 有效的將數據從 agent 傳送到 OMS,並無經過任何分析。 什麼是 OMS Log Analytics Forwarder? 現在已經了解問題是可以被解決的,您可能還會想了解它到底是什麼?又是怎麼運作的?簡單來說,OMS Log Analytics Forwarder 是一個 HTTP forward proxy,它透過 HTTP CONNECT 指令來支援 HTTP 通道。當它執行在一台4核心、8G的 Windows 伺服器上並連接 1Gbps 的網路時,它能夠掌握高達1000個同時連接的 OMS 設備。下圖是它如何連接的概要圖示:   為了讓 OMS Log…

0

Azure Log Analytics 中的新增功能:加入網路廣播以了解更多信息

Azure log 分析 (Azure log Analytics) 是 Azure 監控服務的一部分,使您能夠收集和關聯來自多個來源的數據,並提供可操作之有關 IT 環境的洞察分析。通過這些見解結果,您可以減少解決問題的平均時間,並重新定位您的戰略和創新。 最近,本服務開始將後端平台轉變為高度可擴展和更靈活的數據存儲 – 提供強大的搜索、智能分析、甚至更深入的洞察結果。而這次的升級則是提供對高級分析門戶的訪問,包括交互式查詢語言和 PowerBI Desktop 的集成。 想要了解新功能和如何入門,請立即註冊並參加此網路廣播。 您能通過 Log Analytics 工作區中的橫幅引入升級選項。目前第一梯可用地區包含:美國西部中部、東美、東南澳大利亞、西歐和東南亞,其餘地區將陸續可用。升級步驟如下: 在日誌分析工作區中,點擊提示升級的橫幅,然後按照說明進行操作。 點擊“升級”按鈕後,所有工件(例如保存的搜索,視圖,警報和計算機組)將在幾秒鐘內進行轉換。 注意:您至少需要 Azure 資源的貢獻者 contributer 權限才能執行升級。 想要知道更多詳細信息,請訪問Azure Log Analytics升級過程文檔網頁。  

0

公開預覽中的解決方案

大家好!我們早於今年2017 年 5月發布解決方案定位到公共預覽 public review 了。此功能使您能夠透過搜索創建計算機模組,然後將基於代理基礎的解決方案,建到該計算機中。 怎麼使用該功能: 通過 OMS 首頁中的搜索創建一個計算機組。 在 Azure 首頁中創建一個範圍配置(將包括一個或多個計算機組)。 將範圍配置應用於解決方案。 有關如何使用它的完整詳細信息,請參見“使用 Operations Management Suite (OMS) 中的「設定解決方案目標」將管理解決方案的範圍設定為特定的代理程式 (預覽)"

0

WannaCrypt 攻擊:給 OMS 客戶的指引

加強基礎架構的安全狀態,對於防止不斷演變的網路威脅而言非常重要。建議遵循以下步驟來保護您的資源免受前陣子 WannaCrypt 勒索軟體的攻擊:   這個 WannaCrypt 惡意軟體利用了一個伺服器訊息區塊 (SMB) 的漏洞 (CVE-2017-0145)。客戶應立即安裝 MS17-010 來解決此漏洞。 查看暴露於網際網路的所有 SMB 端點,通常與端口 TCP 139、TCP 445、UDP 137、UDP 138 有關。微軟建議不要打開任何對您操作不重要的網際網路端口。 停用 SMBv1 - 說明請參閱此:https://aka.ms/disablesmb1 利用 Windows Update, 讓您的電腦與最新的安全更新保持同步 OMS 安全性分析的額外步驟 若您在使用 OMS 安全性解決方案,我們建議用以下額外的步驟來更進一步保護您的組織免受攻擊: 定期分析所有系統是否皆已更新到最新版本。您可以執行更新評估,以了解計算機現在的狀態,並解決安全性和稽核儀表板中最關鍵的威脅。按照以下步驟,檢查所有系統是否已具備所需的安全更新。 在微軟 OMS 主儀表板,點擊安全與稽核區塊。 在安全與稽核儀表板,點擊安全域下的更新評估 利用 OMS 安全分析來持續監控環境中的威脅。蒐集並監控事件紀錄及網路流量以尋找潛在攻擊。安全和稽核儀表板內之威脅情報選項可以幫助您識別環境中任何潛在威脅,並快速做出反應: 安全與稽核儀表板中,在威脅情報區塊中選3個選項 具有惡意出站流量的伺服器,將幫助您識別是否有任何您監控的計算機(您網路內部或外部的)正在傳送惡意流量到網際網路。 檢測出之威脅類型圖表會顯示檢測到之威脅的摘要。您可以點擊它來獲得關於每個威脅更詳細的資訊。 威脅情報地圖將幫助您識別全球目前有惡意流量的地點,並收集關於這些威脅更詳細的資訊。 確認已部署並更新反惡意程式軟體。若您在使用適用於 Azure 或 Windows Defender 的微軟反惡意程式軟體,微軟前陣子發布了更新資訊,將這種威脅檢測為 Ransom:Win32/WannaCrypt。若您在運行來自任何資訊安全公司的反惡意程式軟體,您需要向供應商確認您的資料已被保護。您還可以使用 OMS 安全解決方案,來驗證您的計算機是否配置了反惡意程式軟體和其他重要的安全控制。…

0

配置 MS OMS 來監視 Exchange Server

檢查紀錄收集和 perf 數據 若要監視 Exchange Server,首先需要確保 MS OMS 正在收集正確的記錄和近乎即時的性能數據。要查看這些,首先到 OMS 概要中的設定。如下圖:   在 OMS 概要>設定 中,有多個不同的標籤,包含 Solution、Connected Source、Data 等等。按下 Data 來配置:   接著選擇 Windows 事件記錄。在畫面右側往下拉可以看到 Exchange 收集了哪些數據的列表。而理所當然的 Exchange 收集了非常多的記錄 — 有些只有在故障排除時被啟用,因此這個列表會非常長。當您加入一個記錄時,您可以查看他的 Error、Warning、Information events 等等,而當您不需要特定的記錄時也可以點選 Remove。 若要新增 Exchange 記錄到數據收集,無需完整打出記錄名稱,只需輸入足夠讓 OMS 辨識的字數即可。如以下範例,在 Collect Events from the following event logs 輸入 Exchange 等一下之後,便會跳出建議的選項:   選擇您要的搜尋記錄之後,按下右方的藍色 [+],便會將其加入數據來源的列表中。加入後可以看到,新增的記錄會標示出紫色,如下圖: Note:配置完成後要記得按下左上角的 [Save] 才儲存成功。 Exchange Server 搜尋…

0

Azure Application Insights Enterprise 現在成為 OMS 訂閱的一部分內容

OMS 更新內容:我們於 2017年5月將 Azure Application Insights Enterprise 添加到微軟OMS E1和E2作為附加組件,而無需額外的付費。 具體來說,每個 OMS 單元 E1 和 E2 包括一個 Application Insights Enterprise 節點的權限。每個 Application Insights 節點包含每天攝取高達 200 MB 的數據(與Log Analytics數據攝取不同),而且無需額外費用即可保存90天的數據。 想要了解有關 Azure Application Insights 的更多信息,請點擊此處。

0

學習如何開始使用 OMS 警示管理

新增一個搜尋指令 要使用 OMS 警示管理不需要進行任何安裝,只需要一個搜尋指令。因此首先進入到記錄搜尋,如下圖:   您可以輸入一個新的指令或是使用儲存好的指令。最簡單的方式就是利用一個您正在使用中的解決方案,點選該方案並深入查看,其產生的搜尋指令即可用來產生警示。在輸入完指令後按下左上方的 警示。如下圖:   配置警示 現在,您已經有了一個搜尋指令,接著就是要為此指令配置警示。 在記錄搜尋頁面點選警示後進入新增警示規則。需要新增以下三項: 警示名稱 警示閾值 警示寄送的信箱和主旨 如下圖:   為警示規則增加額外的配置 時間間隔:每次搜尋警示的持續時間。預設為15分鐘。 產生警示依據:設定警示被觸發的臨界值。 警示頻率:檢查警示依據的頻率。 隱藏警示:在初始警示觸發之後,在特定時間內會停止偵測警示。這是一個很好避免警示產生垃圾郵件的方式。 Webhook:此功能會指定一個 WebHook URL 來發送警示。這使警示能夠與其他工具做結合。 Runbook:觸發基於警示的 Runbook。這是一個很好的方法指定一個 OMS Runbook 根據警示做補救。

0