Operations Management Suite als onderdeel van uw beveiligingsstrategie

Door: Eldert Kops | 13-01-2017

Operations Management Suite (OMS) is de Microsoft IT management oplossing met sterke focus op cloud en datacenter beveiliging. Uw organisatie heeft veel maatregelen nodig om systemen en informatie goed te beveiligen. Uw beveiligingstoestand (Security Posture) is de actuele status van deze beveiliging. Daar waar mogelijk wilt u afwijkingen en bedreigingen snel constateren. Veel informatie is niet direct voorhanden en opgesloten in allerlei logbestanden in vele systemen. Met OMS kan informatie van diverse systemen centraal in de cloud worden verzameld en geanalyseerd. Door het samenbrengen van gegevens van verschillende systemen en deze gezamenlijk te analyseren ontstaat overzicht in de huidige status, configuratie en gedrag van het gehele IT landschap.

OMS leest gegevens in die afkomstig zijn van Windows of Linux systemen, waarop de Microsoft monitoring agent is geïnstalleerd, vanuit een gekoppelde bestaande System Center Operations Manager omgeving, systemen die Syslog informatie uitsturen of die via een script direct aan de OMS API worden aangeboden. Ook kan OMS via een Azure Storage account Azure gerelateerde logs inlezen voor verdere analyse.

undefined
Afbeelding 1. OMS informatiebronnen 

OMS Log Search
Alle gegevens worden in OMS geïndexeerd en genormaliseerd, waardoor deze eenvoudig doorzoekbaar worden met de geavanceerde query taal.

OMS log search
Afbeelding 2. OMS Log search

Queries kunnen worden opgeslagen zodat deze eenvoudig nogmaals zijn te gebruiken en daarnaast is het mogelijk met de View Designer eigen dashboards te maken waarin u de gegevens van de query zichtbaar kunt maken.

PowerBi
Door de integratie met “Power BI” is het mogelijk gegevens vanuit OMS automatisch te laten exporteren naar Power BI, waarna de gegevens op allerlei manieren kunnen worden getoond in eigen rapporten en dashboards.

PowerBi grafiek
Afbeelding 3. PowerBI grafiek op basis van OMS gegevens

De vier pijlers van Operations Management Suite 
OMS is opgebouwd rondom de volgende vier pijlers:

  • Insights and Analytics – Krijg direct inzicht over verschillende workloads heen, zodat u sneller overzicht krijgt, kunt analyseren en kunt handelen. Verzamel correleer, doorzoek en neem actie op basis van log data afkomstig uit meerdere systemen; 
  • Automation and Control – Automatiseer taken met Azure automation in combinatie met hybrid workers in response op operationele knelpunten of om kostbare tijd te besparen en standaardisatie af te dwingen; 
  • Security and Compliance – Meer en beter inzicht in actuele security dreigingen en potentieel zwakke plekken in beveiliging configuratie. Gebruik OMS om direct zicht te hebben op beveiliging posture. Dit kan bijvoorbeeld betekenen dat u direct wilt zien of op alle systemen de laatste beveiliging updates aanwezig zijn, maar ook of er geen verdacht inlog gedrag plaatsvindt op uw servers; 
  • Protection and Recovery – Vergroot de beschikbaarheid van applicaties en gegevens met geautomatiseerde bescherming en disaster recovery in de cloud. Cloud backups en diaster recovery biedt en eenvoudige en kost efficiënte oplossing voor de bescherming van uw applicaties en gegevens.


Functionaliteit “Solutions” binnen OMS voor analyse en visualisatie
OMS biedt eenvoudig toe te voegen solutions voor het verzamelen, analyseren en visualiseren van verzamelde gegevens en het instellen van alerts. Indien gewenst kunnen bepaalde events Azure automation runbooks starten die correctieve acties uitvoeren. Solutions bestaan uit logica, visualisatie en de benodigde regels voor het verzamelen van informatie. Solutions zorgen ervoor dat informatie wordt verzameld, analyseren binnengekomen gegevens en geven direct feedback over de status van de systemen en het IT landschap in de vorm van dashboards. Deze dashboards die u helpen bij capaciteitsplanning, patchmanagement en security auditing.

Functionaliteit Solutions binnen OMS voor analyse en visualisatie
Afbeelding 4. Informatie verzamelen en inzicht krijgen 
 
Verzamelen van beveiliging logs binnen OMS
Uw beveiligingstoestand (Security Posture) is de actuele status van de beveiliging van systemen en informatie. Door afwijkingen te constateren en de juiste informatie direct voor handen te hebben is het mogelijk adequater te reageren op veiligheidsissues.

OMS verzamelt eenvoudig centraal beveiliging gerelateerde logs, analyseert deze en verrijkt de gegevens met aanvullende informatie. De gegevens worden vergeleken met de Microsoft threat intelligence feed (lijst van bekende bedreigingen) en verdacht verkeer wordt gemarkeerd en voorzien van details over de geografisch locatie van de dreiging en waardevolle informatie over de dreiging. Ook wordt naar verdachte patronen in systeem activiteit gezocht en bepaald of systemen voldoen aan de veiligheidseisen.

OMS security posture

Afbeelding 5. Uw beveiligingstoestand (your Security Posture) 

OMS helpt u bij het bepalen van uw beveiligingstoestand er richt zich hierbij op drie essentiële aspecten:

  • Beveilig (Protect) – Proactief helpen bij het bewaken dat systemen, zodat deze altijd voldoen aan de beveiligingseisen en best-practices op het gebied van beveiliging;
  • Detecteer (Detect) – Voldoen systemen nog aan de beveiliging eisen en is er sprake van ongewenste of verdachte activiteit op de systemen in uw infrastructuur?;
  • Reageer (Respond) – Ontvang alerts en informatie die helpen tijdig te kunnen reageren op dreigingen en incidenten en problemen kunnen voorkomen, of kunnen verhelpen.

De laatste maanden zijn er een aantal interessante OMS solutions uitgebracht en daar zullen er in de komende jaren veel bijkomen. Op dit moment biedt “Security and Compliance” de volgende oplossingen op het gebied van beveiliging:

  • Antimalware Assessment; 
  • Security en Audit;
    • Security Configuration baseline; 
    • Threat Intelligence feed;
    • Identity and Access (failed logons and authentication, authorization errors).

Hiermee krijgt u volledige inzicht in en rapportage over potentiele of actuele dreigingen inclusief analyses door de volledige integratie met Microsoft Advanced Threat Analytics. Altijd up-to-date en zonder dat u zelf verder iets hoeft te doen wordt gescand op de meest actuele dreigingen.

Microsoft Advanced Threat Analytics OMS
 Afbeelding 6. Microsoft Advanced Threat Analytics

Het onderdeel “Automation en Control” biedt op het gebied van beveiliging de volgende oplossingen:

  • Update Management; 
  • Change tracking.

Hiermee kunt u uw systemen controleren op en voorzien van belangrijke beveiliging updates en kunt u zien of er wijzigingen op uw systemen hebben plaatsgevonden.

En met de oplossing “Activity Log Analytics” is het mogelijk Azure Activity Auditing uit te voeren. Daarnaast kunt u zelf velerlei security gerelateerde log bestanden in OMS brengen en deze zelf doorzoeken met de log search functie. Op basis van zelf gedefinieerde query’s kunt u dashboard maken waarin statussen kunnen worden weergegeven en heeft uw een dashboard waarmee u in één oogopslag uw beveiligingstoestand kunt bepalen.
 
Operations management suite is een belangrijk onderdeel van Microsofts cloud management platform en onmisbaar als onderdeel van de security strategie voor een organisatie.
 
Meer informatie over OMS in deze introductie video. Of bekijk hieronder de OMS webcast terug van onze collega & MVP Maarten Goet.

Wilt u samen met Eldert Kops sparren over OMS en uw beveiligingsstrategie? Stuur Eldert Kops een bericht en ontdek samen wat de mogelijkheden zijn.