Arquitectura de CiberSeguridad de Microsoft

Hoy estuve curioseando el sitio web de TechNet, hacía varios días no me daba una vuelta por la galería de PowerShell y quería encontrar algún script interesante, vaya sorpresa cuando encontré la estrategia de seguridad pensada por Microsoft, donde se identifica que existen múltiples mecanismos de monitoreo y protección dependiendo de cada capa de acceso, los servidores por ejemplo pueden ser analizados con Azure Security Center, el cual es un servicio que parece un análisis de hacking ético, y gracias a este podemos ir tomando medidas cautelares, de cerrar puertos, y evitar exposición a ataques en nuestros servicios, o la restricción Just In Time VM Access (JITVMA) que proporciona protección al RDP de servidores. Así mismo aquí en esta grafica uno puede identificar las múltiples soluciones de protección para los clientes de Windows, las soluciones de identidad y acceso de Azure Active Directory, como la autenticación Multi factor (MFA) y las herramientas que proporcionan soluciones como Office 365 con Data Loss protection, Secure Score, Data Governance y eDiscovery.

A nivel de clientes herramientas como el ATP (Advanced Threat Protection)

Los invito a darle una revisión detenida a esta información, y si tienen dudas abro este canal para que platiquemos sobre aquellas que le generen inquietudes.

Imagen tomada de: https://gallery.technet.microsoft.com/Cybersecurity-Reference-883fb54c

Tareas administrativas

Hace ya algún tiempo que hice administración de servidores, recuerdo que en aquel momento no contaba con herramientas de monitoreo tipo Nagios o System Center Operations Manager que me ayudaran en tiempo real a detectar altos consumos de maquina, y tenia que a diario pasar revista a los servidores para determinar si tenían un comportamiento “Normal” o estaban de repente pasando por un mal momento. Para esto es posible utilizar desde la tradicional linea de comandos (cmd) el siguiente comando:

sysdm.cpl && eventvwr /c: && psinfo -d && services.msc && perfmon /rel && explorer /root, && dxdiag && perfmon /report && taskmgr && resmon

Esto nos abrirá las aplicaciones que el sistema operativo trae por defecto para determinar su comportamiento. herramientas como el historial de confiabilidad que nos muestra un timeline del estado de salud del equipo o el visor de eventos, para identificar si ha tenido errores en las ultimas horas, el snap-in de los servicios, para validar que los que son automáticos estén en ejecución, y el administrador de tareas o el resource monitor, para tratar de encontrar que se puede estar consumiendo los recursos del equipo.

Mi recomendación o truco en este post es que la mayoría de estas consultas se pueden realizar desde PowerShell, con un Get-Volume, puedes consultar el estado de ocupación de los volúmenes del dispositivo, un Get-Eventlog -LogName System -EntryType Error -Newest 10|Format-Table me traerá consigo una tabla con los últimos 10 errores de sistema operativo. Get-Process me puede permitir ver lo que tenemos en ejecución, similar al taskmanager, de modo que hay manera de consultar desde linea de comandos múltiples contextos, mas la posibilidad de aplicar todos estos comandos a múltiples servidores que se encuentren en nuestro dominio. Así que adopten PowerShell #Get-PowerShell