Microsoft SCOM

Microsoft

Microsoft System Center Operations Manager — monitoramento empresarial de Windows, Linux e aplicações.

Logs e SIEM Comercial Plataforma / Suíte Em Estudo Windows Linux

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploração

5 Instalação

6 Comando e Controle

7 Ações sobre Objetivos

Defensor — Ciclo de RI

8 Preparação

9 Detecção e Análise

10 Contenção, Erradicação e Recuperação

11 Atividade Pós-Incidente

Descrição

O System Center Operations Manager (SCOM) é a plataforma local de monitoramento da Microsoft. Usa management packs com conhecimento de fornecedor para monitorar Windows Server, AD, Exchange, SQL Server, Hyper-V e (via agentes x-plat) Linux e Unix.

Para o analista CySA+ o SCOM é o exemplo canônico de ferramenta de monitoramento operacional que também é fonte de sinal de segurança — quedas de disponibilidade, crashes de serviço e violações de política vão para o data warehouse e podem ser encaminhadas a um SIEM.

Casos de uso

Monitoramento de disponibilidade e saúde de frotas Windows
Encaminhamento de alertas operacionais a Sentinel/Splunk
Detecção de falhas de serviço que possam indicar adulteração
Relatórios de conformidade via SCOM Reporting Services