Daniel Hejda | Hejda@kpcs.cz ATOM Team Members by KPCS Advanced Threat & Organization Monitoring je způsob, jak dělat složité věci jednoduše Daniel Hejda | Hejda@kpcs.cz ATOM Team Members by KPCS MVP, MCSE, MCSD, MCSA

Jsou pro vás vaše data důležitá a co reputace vaší firmy? Co děláte pro to, aby jste zůstali v bezpečí?

Není to vždy o útoku hackerem intext:DB_PASSWORD || intext:"MySQL hostname" ext:txt http://roadtireplus.com/wp- includes/config/file1.txt inurl:"/root/etc/passwd" intext:"home/*:“ http://www.victorypointgames.com/media/k4l0n k/root/etc/passwd- filetype:log username putty http://www.mail- archive.com/ccie_voice@onlinestudylist.com/ms g29382/putty.log

Příklady bezpečnostních událostí Někdy vás sami nástroje neochrání (reálný příběh) Prolomení RDP přístupu na server v Azure Zneužití důvěryhodnosti odesílatele emailu Nejslabším místem cloudu je právě lokální prostředí a neznalost, případně nedostatek času na řešení problémů

Log Management Běžně společnosti neřeší Logy zůstávají na jediném místě (server/počítač, který log vygeneroval) Nemožnost reakce na vzniklé události Proč to běžně neřešíme? Je to náročné na výkon serverů Nejsou dostupné diskové kapacity Nikdo to nekontroluje (pondělí CTRL+A, DEL) Chybí znalost, zkušenosti a čas Možné důvody proč se věnovat Log Managementu Ochrana reputace a ztráty dat Zákon o Kybernetické bezpečnosti – 2 roky dostupné logy ze systému Nařízení o ochraně osobních údajů (GDPR) – rychlost reakce do 72 hodin

Kolik toho takový systém vygeneruje 1x Windows Server při běžném logování cca 250 MB denně 178GB za 2 roky 20x Windows Server při běžném logování cca 3,5 TB za 2 roky Server pod útokem cca 0,6GB – 1,5 GB denně při běžném logování

Bezpečnost a baselines Velmi často dochází k narušení bezpečnosti z důvodu chyby administrátora Nejčastější je však únik dat ze strany interního zaměstnance Co když by byl tím zaměstnancem naštvaný IT správce nebo jeho podřízený? Proč se to běžně neřeší? Vkládáme důvěru v lidi (zejména v IT správce) Příliš mnoho nástrojů a mnoho False positive hlášení Příliš mnoho souvislostí, které by mohli systém poškodit Neznalost dané oblasti Málo času na hledání příčiny problému Možné důvody proč se věnovat Baseline analýze Zvýšení rychlosti reakce Snazší identifikace problému Snížení problémů spojených s provozem systému

Co musím zajistit, abych mohl řešit bezpečnost Znalost Cloud AWS Místní poskytovatel Office365 Dynamics365 Azure Atd... Lokální prostředí Windows Linux Hardware Prostředí Čas (trénink a analýzy) Nástroje a licence Výpočetní prostředky a úložiště

Jde to i jinak

Vše je součástí služby ATOM ATOM (KPCS) tým Znalost Cloud AWS Místní poskytovatel Office365 Dynamics365 Azure Lokální prostředí Windows Linux Hardware Prostředí Čas (Trénink a analýzy) Nástroje a licence Operation Management Suite Azure Výpočetní prostředky a úložiště

Customer External Service (Custom) Information for Customer Customer Environment Customer External Service (Custom) Information for Customer Azure Service External Services Office365 PowerBI Installer FluendD Customer Tenant in Azure ATOM Team Email Configuration Microsoft Monitoring Agent Phone Custom View Alerts Email Dependency Agent Log Analytics Workspace Intelligence Property by KPCS Report ATOM Agent and Updater Search Engine ATOM Team and Service Desk Portal Log Search API Mobile App Microsoft Solutions ATOM Repositories

Efektivita nasazení a konfigurace Několik desítek minut na aktivaci služby Instalace na straně zakázníka do 5 minut na server Data za 15 minut od instalace agenta První report za týden od instalace prvního agenta Už žádné další update agentů nebo monitoringu za 1 hodinu 5 minut na server za 15 minut za 7 dní Vytvoření prostoru a konfigurace služby v Azure Instalace agentů na koncové body Bezpečnost Dohled Upozornění Doporučení Pravidelné reporty

Service Map Snadná identifikace problému Detailní rozpad služeb na zařízení Automatické provázání služeb a otevřených spojení Propojení informací do jediného místa

Network Performance Monitor (Service Endpoint) Automatické testování endpointů pro Office365 Dynamics365 Možnost definice vlastních testů Sledování latencí a ztrát mezi servery Automaticky rozkreslená topologie prostředí

Network Watcher Analýza Network Security Group z Azure prostředí Identifikace potencionálních slabých míst v nastavení Identifikace potencionálního útoku

Security & Audit Detekce škodlivého provozu Identifikace bezpečnostních rizik při manipulaci s identitami Integrace s Windows Defender ATP a Advanced Threat Analytics Kontrola Baselines pro Web servery a operační systémy Vazba na Azure Security Center

Kontrola DNS prostředí Sledování DNS překladů Sledování konfiguračních změn v DNS Sledování dynamických registrací Sledování škodlivé komunikace (nepovolené weby)

Investigation Map Automatické vyšetřování a propojení událostí Identifikace potencionální enumerace prostředí Možnost napojení na SIEM

KUSTO Query Language Platforma pro analýzu dat Zpracování obrovského množství dat Automatická vizualizace Umělá intelligence Možnosti vlastního programování vyhledávacích výrazů Instantní search engine

Analýza aplikací Kontrola výkonu Kontrola selhání webu Analýzy přístupu Analýzy problémů Aplikační mapa prostředí Testování zátěže Přednastavená upozornění Podpora aplikací .NET / .NET Core Node.js Java / Javascript Mobilní aplikace PHP/Python/Ruby/Cokoliv Redakční systémy SharePoint WordPress Joomla Drupal Atd..

Ostatní Inteligence Pack Kontrola přístupu na Remote Desktop Protokol Kontrola stavu certifikátů Kontrola dostupnosti internetových stránek z internetu Kontrola lokálních uživatelů a skupin Kontrola doménových uživatelů a skupin Kontrola stavu operačního systému, včetně doporučení k zabezpečení Kontrola stavu Windows Update Kontrola Office365 Kontrola Active Directory, SQL Atd.

Novinky pro rok 2018 Near Realtime Monitoring Změna licenčního modelu Zrušení původní konzole a integrace do Azure portálu Vlastní dashboard Vazba na Azure Security Center Možnost připojení HW sond Možnost napojení jakékoliv aplikace, či logu

demo Change in Privilege Group DNS Analytics Web Probe Office365 Task Scheduler Status AD Assessment Anti-malware DNS Analytics ATOM Agent Status Exchange Health Check Lite SQL Assessment Alert Status Office365 Server Performance Web Probe Network Monitor Windows Update Management Security & Audit demo Windows Free Storage Service Map Windows Hardware and Software Wire Data 2.0 Azure Activity Log Free Tier Data Logon Activity RDP Service Agent health Capacity and Performance Logon Activity Web Service Local Certificate Status Windows OS Health Check Lite Best Practices Analyzer

Možnost napojení dalších komponent Azure Shared Services Alerts & Notifications Metrics Explorer Azure Dashboards Basic Monitoring Azure Monitor Azure Health Azure Advisor Advanced Infra Monitoring Azure Log Analytics Service Map Network Monitoring Container Monitoring SQL Analytics Network Security Group Analytics Advanced App Monitoring Azure Application Insights

Využívejte moderní metody ochrany a zabezpečení prostředí. Chcete být v bezpečí? Využívejte moderní metody ochrany a zabezpečení prostředí.