OMS 安全性即時保護狀態的故障排除 – Part 1

在某些情況,IT 管理員可能會在利用 OMS 安全性與稽核儀表板監視即時保護狀態時遇到問題。在此故障排除的情況中,一台安裝了 System Center 端點保護 並啟用了即時保護功能的 Windows Server 2012 電腦,在 OMS 控制台中被顯示出即時保護並未啟用。雖然此文案例發生在 Windows Server 2012,但此情況也有可能發生在 Windows Server 2008 或 Windows 7 SP1。 原因 Microsoft System Center Endpoint Protection 被偵測到發現 Protection Status Rank 270 並沒有即時的保護,如下圖: 故障排除步驟 確認所有監視是否都啟用,如以下範例: 可以注意到 “BehaviorMonitor" 沒有被啟用,而這就是造成 270 的原因。 解決方法 透過 SCEP 管理控制台來啟用所有監視。

0

OMS Log Analytics Agent 支援多重主目錄 (multi-homing)

OMS Log Analytics Agent,又被稱為微軟 Windows 的監視代理器,現在能夠讓您從一台伺服器傳送資料到多個工作區。一個組織中的不同團隊能夠從同樣的管理設備收集資料。每個代理器最多支援 4 個工作區,而這也同時支援 32-bit 和 64-bit 版本的代理器。 下載支援 Windows 64-bit (multi-homed) 的代理器 下載支援 Windows 32-bit (multi-homed) 的代理器   此新的代理器是 SCOM 2016 的一部份,客戶可以將現有的代理器更新到最新的版本,新舊版本是相互兼容的。要更新現有的代理器,您可以利用 SCCM、PowerShell、或是 GUI 來執行。 MMASetup-AMD64.exe /Q:A /R:N /C:"setup.exe /qn AcceptEndUserLicenseAgreement=1″ 要支援此新功能,需要對 API 做一些變更,而這需要更新您的部屬指令。要新增工作區,利用以下 PowerShell 範例來使用  Log Analytics 指令 API。 $mma = New-Object -ComObject ‘AgentConfigManager.MgmtSvcCfg’ $mma.AddCloudWorkspace($workspaceId, $workspaceKey) $mma.ReloadConfiguration() Note:若您先前是使用指令來安裝或配置代理器,EnableAzureOperationalInsights 會被 AddCloudWorkspace 所取代。…

0

OMS Office 365 管理方案現已公開預覽

概要:宣布 Office 365 管理方案的公開預覽版本。 有了 Office 356 方案,您可以執行以下幾種管理活動: 監視使用者活動:在您的 Office 365 帳號上監視使用者活動來分析使用模式並定義行為模式。例如,您可以獲取特定的使用場景,像是分享在您組織外或是最受歡迎的 SharePoint 網站的文件。 監視管理活動:用來追蹤配置的改變或是高權限的操作。 偵測和調查不需要的用戶行為:此功能可以依照您的公司需求做設定。 展現稽核與合規性:例如,您可以監視機密文件的文件訪問操作,使您在稽核與合規性過程得到幫助。 執行故障排除:藉由您組織中 Office 365 活動的數據,並使用 OMS 搜尋來執行。 概觀 Office 365 方案讓您能夠完整的看到您 Office 365 的使用者活動。 為 Office 365 收集的數據是建立在 Office 365 管理活動 API 現有功能的基礎上的。現在,此 API 包含了對 Exchange、SharePoint、Azure Active Directory 的管理活動。 在 OPERARTIONS 的部分提供您所有受監視的 Office 365 訂閱中活躍用戶的資訊。 在 EXCHANGE 的部分會顯示出 Exchange 伺服器活動的細項,像是 Add-Mailbox…

0

OMS 警示,回應快速且功能豐富

概要:了解 OMS 警示在回應時間和功能上的進步。 OMS 警示速度增快 66% 現在,在事件發生後的一分鐘內,警示便會被啟動。 其他進步  為警示增加描述:當您要引入故障移除資訊或是相關知識文章連結時,此描述很有幫助。   在自訂的 Webhook 有效附載引入搜尋結果:在您自訂的有效附載中加入了 {“IncludeSearchResults”:true} 參數,這對自訂的結合很有幫助。若您只想要一個子集的回傳數據,您可以使用 SELECT 指令,並只選擇您想要傳送的區段。例如,以下指令會回傳所有強制性的軟體更新:Type=Update (UpdateState=needed) Optional=false | select Title, Computer現在,當使用 IncludeSearchResults 時,便會傳送一個含有需求更新與其名稱的列表到我自訂的目的地。   引入警示嚴重性到信箱中:現在在警示的信件中,引入了嚴重性,信件的橫幅顏色也會依照嚴重性改變。   測試 Webhook:現在要測試 Webhook 端點變得非常容易。只需按下 測試 Webhook 便會執行 POST 請求到您的端點且無需搜尋數據。這對於利用自訂參數來測試您的 Webhook 非常有用。    

0

利用 MS OMS 來追蹤 PowerShell 活動

概要:學習如何將 PowerShell 活動記錄加入 MSOMS 中,並學習如何搜尋收集到的記錄。 根據預設,Windows PowerShell 會將活動記錄到多個不同的 log 中。例如:以下範例中有一個 Windows PowerShell log 會提供 Windows PowerShell 引擎和供應者生命週期的資訊。如下圖: 此外,還有 Windows PowerShell 管理與操作 log 和 Desired State Configuration (DSC) log。因此可以發現它是一個記錄完善的應用程式。在多數的目的中,Windows PowerShell log 能提供良好的診斷資訊,而這在有問題需要研究時能有很大的幫助。 Windows PowerShell/Operational log 會在 Windows PowerShell 指令執行時記錄。如下圖: 在 Details 的 tab 中,您可以看到執行的指令名稱和執行指令的使用者。從上圖可以看到 Task Category 是 PowerShell ISE Operation,因此可以得知指令是在整合式指令碼環境(ISE) 的內部交互執行。而這些資訊都是從 Event ID 24577 中所得知。 那我是否能在 OMS 中執行呢?當然可以。 首先選擇要攝入 OMS 的…

0

OMS 中的自訂記錄欄位

概要:學習如何導入自訂記錄到 OMS 中,並學習如何從以下影片中的攝入數據建立自訂的記錄欄位。 自從自訂欄位發布後,對於將自訂記錄從環境中收集並傳至 OMS 的需求也隨著變大。因此自訂記錄也成為正式的功能,請參考以下影片:   想詳細了解自訂記錄,請參閱:Log Analytics 中的自訂記錄檔。

0

OMS 中的 Syslog 收集

概要:學習如何配置並使用用於 Syslog 收集的 OMS Agent for Linux。 OMS 中 Linux 管理最核心的功能就是 Syslog 事件的收集。Linux syslog 事件的範圍可從核心紀錄到應用數據與稽核記錄。除了 Linux 伺服器外,許多網路設備、防火牆和應用程序都允許本機 syslog 轉發。 有了用於 Linux 的 OMS Agent,您就可以將所有轉發的 syslog 訊息帶入強大的 OMS Log Analytics 平台,進而快速透過有意義的指令來搜尋,或是對特定 syslog 事件建立警示。 概觀 用於 Linux 的 OMS Agent 是在 Fluentd 的基礎上,它包含了對 syslog 協定訊息的支援。當用於 Linux 的 OMS Agent 成功安裝後,它將會自動配置其他 syslog 應用程序(rsyslog 和 syslog-ng) 來將所有警告和以上的事件寫入其在 port 25224…

0

OMS Log Analytics 現在可以在更多地區使用

現在您在多個不同的地區都可以建立 OMS 工作區。除了美國東部、西歐之外,在東南亞、澳洲東南部、和美國中西部都可以建立 OMS 工作區。 您可以從 www.microsoft.com/oms 概觀來建立一個 OMS 工作區並選擇其存放的地區,如下圖:   或是在 Azure 入口網站,新建立一個 Log Analytics(OMS) 時,可以選擇工作區的地區,如下圖:

0

OMS 中的電腦群組

概要:學習如何建立 OMS 中的電腦群組或從 AD 和 WSUS 導入。 儲存電腦群組 第一個要介紹的功能是如何將一個電腦群組存到 OMS 中。儲存的電腦群組 是從記錄搜尋所建立的。任何會回傳一個電腦列表的搜尋指令都可以被儲存為電腦群組。 要建立您的 儲存的電腦群組,到 OMS 記錄搜尋輸入一個會回傳電腦列表的指令,如以下範例: Computer=DB*  | Distinct Computer 此指令會回傳所有名稱含有 DB 並會傳送資料到 OMS 的電腦。要儲存這個電腦群組,按下左上方的儲存。這跟儲存搜尋指令是類似的。 在右側儲存的視窗,輸入名稱和類別。接著點選 [是] 將其儲存為電腦群組。   要儲存電腦群組,您的指令必須輸入 Distinct Computer。以下是幾個建立電腦群組的範例: 範例一:所有電腦的群組 *| Distinct Computer 範例二:包含電腦A和電腦B的靜態群組 Computer=A OR Computer=B | Distinct Computer 此範例可看到您可以藉由列出所有電腦來建立一個靜態群組並對其使用 Distinct。 電腦群組被儲存後,您可以在 設定>Computer Group 查看已儲存的電腦群組列表:   每個群組的搜尋圖示能夠搜尋群組內所有電腦。當您想要移除該電腦群組時,可以按下右方的 [x]。您在此移除電腦群組時,儲存的搜尋指令也會一起被移除,反之對應的搜尋指令被移除時,儲存的電腦群組也會被移除。 如何在搜尋時使用儲存的電腦群組 您可以利用電腦群組在搜尋時將搜尋範圍縮小到特定的電腦群組。以下是您可以利用的語法: $ComputerGroups[Name] OR $ComputerGroups[Category: Name] Note:當有同樣名字的電腦群組被存在不同的類別中時,就需要輸入類別名稱。…

0

OMS 警示正式發布

與 public review 有何不同? WebHook 支援:提供 WebHook URL 來接收警示。這使得與其他工具(如:Slack 或是 各種事件管理工具)結合變得很容易。   開啟/關閉和編輯警示:在 設定>Alerts 中,您可以開啟、關閉或是編輯單一的警示。您可以在此關閉惱人的警示或是在維修時關閉警示。   隱藏警示:在警示發佈後,停止警示一段時間。這能幫助減少警示的干擾。   新增警示畫面:在未來您還會看到這個使用者介面有些許的修改。 效能進步:最大搜尋時間間隔可達24小時。 在 OMS 工作區右上方的通知:現在當您進到 OMS 工作區,將會在通知告訴您當您離開的時間內有多少警示發佈。在通知中您也可以有連結查看所有發佈的警示。   警示嚴重性:總共有三種程度可以選擇:嚴重、警告、資訊。 OMS 警示還會繼續更新嗎? 當然會!警示是任何良好監視工具的基礎,因此微軟將會持續更新、改進 OMS 警示的功能。在未來您將會看到微軟積極採取行動來減少警界時間,並對警示管理進行修改來提供更有凝聚力的警示監控與管理。 開始使用 雖然您需要利用搜尋指令來產生警示,但其實您不需要知道任何搜尋語法就可以使用警示。最簡單的方式就是透過一個方案來做搜尋。 進到一個解決方案的儀表板後,點選任何您想建立警示的項目。接著 OMS 將會自動跳到記錄搜尋並之行該指令。 執行完後,您可以按下左上方的 [警示] 圖示。接著就會跳到先前提到的新增警示畫面,輸入各項資料後按下儲存即完成警示的新增。 有什麼好的警示可以作為開端嗎? 以下列出了一些有用的搜尋指令警示來幫助您開始,也列出了指令相對應所需的方案或是數據來源: Name Query Alert configuration Required solution/data source Computers missing required Critical or Security…

0