Detekce a reakce na výstrahy zabezpečení
Příslušné role: Agent pro správu
Platí pro: Přímé fakturování v Partnerském centru a nepřímí poskytovatelé
Můžete se přihlásit k odběru nové bezpečnostní výstrahy pro detekce týkající se neoprávněného zneužití neoprávněnou stranou a převzetí účtů. Toto bezpečnostní upozornění je jedním z mnoha způsobů, jak Microsoft poskytuje data, která potřebujete k zabezpečení služeb vašich zákazníků. Můžete se přihlásit k odběru nového bezpečnostního upozornění pro zjištění související se zneužitím neoprávněných stran a narušením účtů. Toto upozornění zabezpečení je jedním z mnoha způsobů, jak Microsoft poskytuje data, která potřebujete k zabezpečení tenantů vašich zákazníků.
Důležité
Jako partner v programu Cloud Solution Provider (CSP) zodpovídáte za spotřebu Azure vašich zákazníků, takže je důležité, abyste věděli o jakémkoli neobvyklém využití v předplatných Azure zákazníka. Pomocí výstrah zabezpečení Microsoft Azure můžete zjišťovat vzory podvodných aktivit a zneužití v prostředcích Azure, abyste snížili riziko online transakcí. Výstrahy zabezpečení Microsoft Azure nezjistí všechny typy podvodných aktivit nebo zneužití, takže je důležité použít další metody monitorování, které pomáhají odhalit neobvyklé využití v předplatných Azure zákazníka. Další informace najdete v tématu Správa neplacení, podvodu nebo zneužití a Správa zákaznických účtů.
Vyžaduje se akce: Pomocí monitorování a povědomí o signálech můžete okamžitě provést akci, abyste zjistili, jestli je chování legitimní nebo podvodné. V případě potřeby můžete pozastavit ovlivněné prostředky Azure nebo předplatná Azure, abyste zmírnili problém.
Ujistěte se, že upřednostňovaná e-mailová adresa pro Partner Admin agenty je up-to-date, takže budou upozorněni spolu s bezpečnostními kontakty.
Přihlášení k odběru oznámení výstrah zabezpečení
Na základě své role se můžete přihlásit k odběru různých oznámení partnerů.
Výstrahy zabezpečení vás upozorní, když předplatné Azure zákazníka zobrazuje možné neobvyklé aktivity.
Zasílání upozornění e-mailem
- Přihlaste se do Partner Center a vyberte Oznámení (zvonek).
- Vyberte Moje předvolby.
- Pokud jste ji ještě nenastavili, nastavte upřednostňovanou e-mailovou adresu.
- Pokud jste ho ještě nenastavili, nastavte upřednostňovaný jazyk pro oznámení.
- Vyberte Upravit vedle předvoleb e-mailových oznámení.
- Zaškrtněte všechna políčka týkající se zákazníků ve sloupci Pracovní prostor . (Pokud chcete zrušit odběr, zrušte výběr transakčního oddílu v pracovním prostoru zákazníka.)
- Zvolte Uložit.
Výstrahy zabezpečení odesíláme, když zjistíme možné aktivity výstrah zabezpečení nebo zneužití v některých předplatných Microsoft Azure vašich zákazníků. Existují tři typy e-mailů:
- Denní souhrn nevyřešených výstrah zabezpečení (počet partnerů, zákazníků a předplatných ovlivněných různými typy upozornění)
- Téměř v reálném čase výstrahy zabezpečení Seznam předplatných Azure, která mají potenciální bezpečnostní obavy, naleznete v části Události podvodů.
- Oznámení o bezpečnostních upozorněních téměř v reálném čase Tato oznámení poskytují přehled o oznámeních odeslaných zákazníkovi, když se zobrazí výstraha zabezpečení.
Partneři CSP (Cloud Solution Provider) s přímým vyúčtováním můžou zobrazit další výstrahy pro aktivity, například neobvyklé využití výpočetních prostředků, kryptografické dolování, využití služby Azure Machine Learning a oznámení o poradenství pro stav služeb. Partneři CSP (Cloud Solution Provider) s přímým vyúčtováním můžou zobrazit další výstrahy pro aktivity, například neobvyklé využití výpočetních prostředků, kryptografické dolování, využití služby Azure Machine Learning a oznámení o poradenství pro stav služeb.
Získání upozornění prostřednictvím webhooku
Partneři se mohou zaregistrovat k události webhooku: azure-fraud-event-detected a přijímat upozornění na události změn v rámci prostředků. Pro více informací viz webhookové události Partnerského centra.
Prohlížejte a reagujte na výstrahy prostřednictvím panelu Výstrahy zabezpečení
Partneři CSP mohou přistupovat k panelu zabezpečení výstrah v Partnerském centru ke zjišťování a reagování na výstrahy. Další informace najdete v tématu Reakce na události zabezpečení pomocí řídicího panelu výstrah zabezpečení v Partnerském centru. Partneři CSP mají přístup k řídicímu panelu výstrah zabezpečení v Partnerském centru, aby mohli detekovat tyto výstrahy a reagovat na ně. Další informace najdete v tématu Reakce na události zabezpečení pomocí řídicího panelu výstrah zabezpečení v Partnerském centru.
Získání podrobností o upozorněních prostřednictvím rozhraní API
Podrobnosti o upozorněních můžete získat prostřednictvím rozhraní Microsoft Graph Security Alerts API.
Použití nového rozhraní MICROSOFT Graph Security Alerts API (beta verze)
Výhody: Od května 2024 je k dispozici verze Preview rozhraní Microsoft Graph Security Alerts API. Toto rozhraní API poskytuje jednotné prostředí brány rozhraní API napříč dalšími službami Microsoft, jako je Microsoft Entra ID, Teams a Outlook.
Požadavky na začlenění: Začlenění partneři CSP musí používat novou Security Alerts Beta API. Další informace najdete v tématu Použití rozhraní API pro výstrahy zabezpečení partnerů v Microsoft Graphu.
Vydání rozhraní MICROSOFT Graph Security Alerts API V1 bude brzy k dispozici.
| Případ použití | Rozhraní API |
|---|---|
| Připojení k rozhraní Microsoft Graph API pro získání přístupového tokenu | Získání přístupu jménem uživatele |
| Zobrazení seznamu výstrah zabezpečení pro získání přehledu o výstrahách | Seznam bezpečnostních upozornění |
| Získejte výstrahy zabezpečení, abyste získali přehled o konkrétním upozornění na základě vybraného parametru dotazu. | Získat partnerSecurityAlert |
| Získání tokenu pro volání rozhraní API Partnerského centra pro referenční informace | Povolit zabezpečený aplikační model |
| Získání informací o profilu organizace | Získejte profil organizace |
| Získejte informace o zákazníkovi podle ID | Získat zákazníka podle ID |
| Získejte informace o nepřímých prodejcích zákazníka podle ID | Získat partnery zákazníka |
| Získání informací o předplatném zákazníka podle ID | Získání předplatného podle ID |
| Aktualizace stavu upozornění a řešení v případě zmírnění problému | Aktualizace partnerSecurityAlert |
Podpora stávajícího rozhraní API FraudEvents
Důležité
Rozhraní API pro starší podvodné události bude zastaralé ve čtvrtém čtvrtletí roku 2024. Další podrobnosti najdete v měsíčních oznámeních zabezpečení v Partnerském centru. Partneři CSP by měli migrovat na nové rozhraní Microsoft Graph Security Alerts API, které je nyní dostupné v předběžné verzi.
Během přechodného období můžou partneři CSP pokračovat v používání FraudEvents API k získání dalších signálů detekce pomocí X-NewEventsModel. S tímto modelem můžete získat nové typy upozornění při jejich přidání do systému. Můžete například získat zprávy o anomálním využití výpočetních prostředků, těžbě kryptoměn, využití Azure Machine Learning a oznámení o stavu služby a doporučení. Nové typy upozornění je možné přidat s omezeným upozorněním, protože se také vyvíjejí hrozby. Pokud používáte speciální zpracování prostřednictvím rozhraní API pro různé typy výstrah, sledujte změny v těchto rozhraních API:
- Získat události podvodu
- Aktualizovat stav události podvodu
Co dělat, když obdržíte oznámení výstrah zabezpečení
Následující kontrolní seznam obsahuje navrhované další kroky pro to, co dělat, když obdržíte oznámení o zabezpečení.
- Zkontrolujte, jestli je e-mailové oznámení platné. Když odesíláme výstrahy zabezpečení, posílají se z Microsoft Azure s e-mailovou adresou:
no-reply@microsoft.com. Partneři dostanou oznámení jenom od Microsoftu. - Když budete upozorněni, můžete se také podívat na e-mailové upozornění na portálu Centra akcí. Výběrem ikony zvonku zobrazíte upozornění centra akcí.
- Projděte si předplatná Azure. Určete, jestli je aktivita v předplatném legitimní a očekávaná, nebo jestli může být aktivita způsobená neoprávněným zneužitím nebo podvodem.
- Dejte nám vědět, co jste našli, buď prostřednictvím řídicího panelu výstrah zabezpečení nebo z rozhraní API. Chcete-li se dozvědět více o používání rozhraní API, podívejte se na Aktualizace stavu podvodné události. K popisu nalezených položek použijte následující kategorie:
- Legitimní – Aktivita je očekávaná nebo falešně pozitivní signál.
- Podvod – Aktivita je způsobená neoprávněným zneužitím nebo podvodem.
- Ignorovat – Aktivita je starší výstraha a měla by se ignorovat. Další informace najdete v tématu Proč partneři dostávají starší výstrahy zabezpečení?.
Jaké další kroky můžete podniknout, abyste snížili riziko ohrožení zabezpečení?
- Povolte vícefaktorové ověřování (MFA) pro zákazníky a partnerské tenanty. Účty, které mají oprávnění ke správě předplatných Azure zákazníků, musí být kompatibilní s vícefaktorovým ověřováním. Další informace najdete v tématu osvědčené postupy zabezpečení Cloud Solution Provider a osvědčené postupy zabezpečení zákazníka.
- Nastavte upozornění pro monitorování oprávnění přístupu na základě role (RBAC) Azure pro předplatná Azure zákazníků. Další informace najdete v části Plán Azure – Správa předplatných a prostředků.
- Auditujte změny oprávnění u předplatných Azure vašich zákazníků. Projděte si protokol aktivit Azure Monitor pro aktivity související s předplatným Azure.
- Zkontrolujte anomálie v útratě oproti vašemu rozpočtu pro útraty v Azure Cost Managementu.
- Informujte zákazníky, aby snížili nevyužitou kvótu, abyste zabránili poškození povolenému v předplatném Azure: Přehled kvót – Kvóty Azure.
- Odeslání žádosti o správu kvóty Azure: Jak vytvořit žádost o podporu Azure – podpora Azure
- Zkontrolujte aktuální využití kvót: Referenční informace k rozhraní REST API pro kvóty Azure
- Pokud spouštíte kritické úlohy, které vyžadují vysokou kapacitu, zvažte rezervaci kapacity na vyžádání nebo rezervované instance virtuálních počítačů Azure.
Co byste měli dělat, když dojde k ohrožení zabezpečení předplatného Azure?
Proveďte okamžitou akci k ochraně vašeho účtu a dat. Tady je několik návrhů a tipů, které vám pomohou rychle reagovat a zvládnout potenciální incident s cílem snížit jeho dopad a celkové obchodní riziko.
Náprava ohrožených identit v cloudovém prostředí je zásadní pro zajištění celkového zabezpečení cloudových systémů. Ohrožené identity můžou útočníkům poskytnout přístup k citlivým datům a prostředkům, takže je nezbytné provést okamžitou akci k ochraně účtu a dat.
Okamžitě změňte přihlašovací údaje pro:
- Administrátoři tenantů a přístup role-based access control (RBAC) k předplatným Azure Co je řízení přístupu na základě role v Azure (Azure RBAC)?
- Postupujte podle pokynů k heslu. Doporučení zásad hesel
- Ujistěte se, že všichni správci nájemců a vlastníci RBAC mají zaregistrované a vynucené vícefaktorové ověřování.
Zkontrolujte a ověřte všechny e-maily a telefonní čísla pro obnovení uživatelských hesel správce v rámci Microsoft Entra ID. V případě potřeby je aktualizujte. Doporučení zásad pro hesla
Zkontrolujte, kteří uživatelé, tenanti a předplatná jsou ohroženi v portálu Azure.
- Prozkoumejte riziko přechodem na Microsoft Entra ID ke kontrole Rizikových Zpráv služby Identity Protection. Další informace najdete v tématu Prošetření rizika Microsoft Entra ID Protection
- Licenční požadavky pro ochranu identity
- Řešení rizik a odblokování uživatelů
- Uživatelské zkušenosti s Microsoft Entra ID Protection
Zkontrolujte protokoly přihlášení Microsoft Entra u zákaznického tenanta, abyste zjistili neobvyklé vzory přihlašování v době, kdy je spuštěna výstraha zabezpečení.
Po odstranění škodlivých aktérů vyčistěte kompromitované prostředky. Sledujte ovlivněné předplatné a ujistěte se, že neexistuje žádná další podezřelá aktivita. Je také vhodné pravidelně kontrolovat protokoly a auditovat záznamy, abyste měli jistotu, že je váš účet zabezpečený.
- Zkontrolujte všechny neoprávněné aktivity v Protokolu aktivit Azure, například změny v naší fakturaci, využití nefakturovaných položek komerční spotřeby nebo konfigurace.
- Zkontrolujte anomálie ve výdajích oproti rozpočtu výdajů zákazníka ve správě nákladů Azure.
- Zakažte nebo odstraňte všechny ohrožené prostředky:
- Identifikovat a vyřadit útočníka: Pomocí zabezpečovacích prostředků Microsoft a Azure se můžete zotavit z kompromitace identity v rámci systému.
- Zkontrolujte Azure Activity Log pro jakékoli změny na úrovni předplatného.
- Uvolněte a odeberte všechny prostředky vytvořené neoprávněnou stranou. Podívejte se na Jak udržet předplatné Azure čisté – Azure Tipy a triky (video)
- Předplatná Azure zákazníků můžete zrušit přes API (zrušení nároku Azure) nebo pomocí portálu Partner Center.
- Okamžitě kontaktujte podporu Azure a nahlaste incident.
- Vyčištění úložiště po události: Vyhledání a odstranění nepřipojených spravovaných a nespravovaných disků Azure – Azure Virtual Machines
Zabránění ohrožení zabezpečení účtu je jednodušší než jeho obnovení. Proto je důležité posílit svůj bezpečnostní postoj.
- Zkontrolujte kvótu pro předplatná Azure zákazníků a odešlete žádost o snížení nevyužité kvóty. Pro další informace, viz Omezení kvóty.
- Projděte si a implementujte osvědčené postupy zabezpečení poskytovatele cloudových řešení.
- Seznamte se se svými zákazníky a naučte se implementovat osvědčené postupy zabezpečení zákazníků.
- Ujistěte se, že je zapnutý Defender for Cloud (pro tuto službu je dostupná úroveň Free).
- Ujistěte se, že je Defender for Cloudzapnutý (pro tuto službu je dostupná bezplatná úroveň).
Další informace najdete v článku support.
Další nástroje pro monitorování
- Nastavte upozornění z Azure portálu
- Nastavte rozpočet na náklady v Azure pro zákazníky
Příprava koncových zákazníků
Microsoft odesílá oznámení na předplatná Azure, která jsou určena pro vaše koncové zákazníky. Ve spolupráci s koncovým zákazníkem se ujistěte, že může jednat vhodně a že jsou ve svém prostředí upozorněni na různé bezpečnostní problémy.
- Nastavte upozornění na využití pomocí služby Azure Monitor nebo služby Azure Cost Management.
- Nastavte upozornění systému Service Health, abyste byli informováni o dalších oznámeních od Microsoftu týkajících se zabezpečení a dalších souvisejících problémů.
- Spolupracujte s administrátorem tenanta vaší organizace (pokud není spravováno partnerem), abyste prosadili zvýšená bezpečnostní opatření v rámci vašeho tenanta (viz následující část).
Další informace o ochraně tenanta
- Projděte si a implementujte osvědčené postupy provozního zabezpečení pro vaše prostředky v Azure.
- Uplatněte vícefaktorové ověřování, abyste posílili úroveň zabezpečení identity.
- Implementujte zásady rizik a upozorňování pro uživatele s vysokým rizikem a přihlašování s vysokým rizikem:Co je Microsoft Entra ID Protection?
Pokud máte podezření na neoprávněné použití předplatného Azure, vašeho nebo vašeho zákazníka, obraťte se na podporu Microsoft Azure, aby Microsoft mohl urychlit zodpovězení či řešení jakýchkoli dalších dotazů nebo obav.
Pokud máte konkrétní dotazy týkající se Partnerského centra, odešlete žádost o podporu v Partnerském centru. Další informace: Získání podpory v Partnerském centru.
Kontrola oznámení zabezpečení v protokolech aktivit
- Přihlaste se do Partner Center a vyberte ikonu nastavení (ozubené kolo) v pravém horním rohu, poté zvolte pracovní prostor Nastavení účtu.
- Na levém panelu přejděte do protokolů aktivit.
- Nastavte data Od a To v horním filtru.
- V části Filtrovat podle typu operace vyberte Zjištěná událost podvodu Azure. Měli byste být schopni zobrazit všechny události výstrah zabezpečení zjištěné pro vybrané období.
Proč partneři dostávají starší výstrahy zabezpečení Azure?
Microsoft od prosince 2021 odesílá upozornění na podvody v Azure. V minulosti však upozornění bylo založeno pouze na předvolbě výslovného souhlasu, kdy partneři museli vyjádřit výslovný souhlas s oznámením. Toto chování jsme změnili. Partneři by teď měli vyřešit všechna upozornění na podvody (včetně starých upozornění), která jsou otevřená. Pokud chcete zajistit bezpečnostní pozici vaši a vašich zákazníků, postupujte podle bezpečnostních osvědčených postupů Cloud Solution Provider.
Microsoft odesílá denní souhrn podvodů (počet partnerů, zákazníků a předplatných, kterých se týká), pokud během posledních 60 dnů dojde k aktivnímu nevyřešenému upozornění na podvod. Microsoft odesílá denní souhrn podvodů (počet partnerů, zákazníků a předplatných, kterých se týká), pokud během posledních 60 dnů dojde k aktivnímu nevyřešenému upozornění na podvod.
Proč se mi nezobrazují všechna upozornění?
Oznámení výstrah zabezpečení jsou omezená na detekci vzorů určitých neobvyklých akcí v Azure. Upozornění zabezpečení nedetekují a nezaručují detekci veškerého neobvyklého chování. Je důležité, abyste pomocí jiných metod monitorování mohli detekovat neobvyklé využití v předplatných Azure zákazníka, jako jsou měsíční rozpočty útraty Azure. Pokud obdržíte výstrahu, která je významná a jedná se o falešně negativní výsledek, obraťte se na podporu partnera a poskytněte následující informace:
- ID tenanta partnera
- ID tenanta zákazníka
- ID předplatného
- ID zdroje
- Datum začátku dopadu a datum konce dopadu
Související obsah
- Propojte se s API výstrahy zabezpečení a zaregistrujte webhook.