A biztonsági riasztások észlelése és a riasztásokra való válaszadás
Megfelelő szerepkörök: Rendszergazdai ügynök
A következőkre vonatkozik: Partnerközpont – közvetlen számla és közvetett szolgáltatók
Feliratkozhat egy új biztonsági riasztásra a jogosulatlan féllel való visszaéléssel és a fiókátvételekkel kapcsolatos észlelésekhez. Ez a biztonsági riasztás egyike annak a számos módszernek, ahányszor a Microsoft biztosítja az ügyfél bérlőinek védelméhez szükséges adatokat. Feliratkozhat egy új biztonsági riasztásra, amely a jogosulatlan felek általi visszaélések és a fiókátvételek észlelésére vonatkozik. Ez a biztonsági riasztás egyike annak a számos módszernek, ahányszor a Microsoft biztosítja az ügyfél bérlőinek védelméhez szükséges adatokat.
Fontos
A Felhőszolgáltató (CSP) program partnereként Ön a felelős az ügyfelek Azure-használatáért, ezért fontos, hogy tisztában legyen az ügyfél Azure-előfizetéseiben előforduló rendellenes használattal. A Microsoft Azure biztonsági riasztásaival észlelheti a csalárd tevékenységek mintáit és az Azure-erőforrásokban való visszaélést az online tranzakciók kockázatainak való kitettség csökkentése érdekében. A Microsoft Azure biztonsági riasztásai nem észlelnek minden típusú csalást vagy visszaélést, ezért fontos, hogy további monitorozási módszereket használjon az ügyfél Azure-előfizetéseiben előforduló rendellenes használat észleléséhez. További információ: Nemfizetés, csalás vagy visszaélés kezelése és Ügyfélfiókok kezelése.
Szükséges művelet: A figyeléssel és a jeltudatos működéssel azonnal megállapíthatja, hogy a viselkedés jogszerű vagy hamis-e. Szükség esetén felfüggesztheti az érintett Azure-erőforrásokat vagy Azure-előfizetéseket a probléma megoldásához.
Győződjön meg arról, hogy a partneradminisztrátorai előnyben részesített e-mail-címe up-todátum, ezért a biztonsági partnerekkel együtt értesítést kapnak.
Feliratkozás biztonsági riasztási értesítésekre
A szerepköre alapján különböző partnerértesítésekre iratkozhat fel.
A biztonsági riasztások értesítik, ha az ügyfél Azure-előfizetésében lehetséges rendellenes tevékenységek láthatók.
Riasztások lekérése e-mailben
- Jelentkezzen be a Partner Center-be, és válassza az Értesítések (harang) lehetőséget.
- Válassza a Saját beállítások lehetőséget.
- Állítson be egy előnyben részesített e-mail-címet, ha még nem állított be egyet.
- Ha még nem állította be, állítsa be az értesítés kívánt nyelvét.
- Válassza a Szerkesztés lehetőséget az E-mail értesítési beállítások mellett.
- Jelölje be az ügyfelekre vonatkozó összes jelölőnégyzetet a Munkaterület oszlopban. (A leiratkozáshoz törölje a tranzakciós szakasz kijelölését az ügyfél-munkaterület alatt.)
- Válassza a Mentés lehetőséget.
Biztonsági riasztásokat küldünk, ha észleljük a lehetséges biztonsági riasztási tevékenységeket vagy az ügyfelek Microsoft Azure-előfizetéseiben való visszaélést. Az e-maileknek három típusa van:
- A megoldatlan biztonsági riasztások napi összegzése (a különböző riasztástípusok által érintett partnerek, ügyfelek és előfizetések száma)
- Közel valós idejű biztonsági riasztások. A potenciális biztonsági problémákkal rendelkező Azure-előfizetések listájának megszerzéséhez tekintse meg a következő dokumentumot: „Csalási események lekérése”.
- Közel valós idejű biztonsági tanácsadási értesítések. Ezek az értesítések betekintést nyújtanak az ügyfélnek biztonsági riasztás esetén küldött értesítésekbe.
Felhőszolgáltató (CSP) közvetlen számlapartnerek további riasztásokat láthatnak a tevékenységekről, például: rendellenes számítási használat, kriptobányászat, Azure Machine Learning-használat és szolgáltatásállapot-tanácsadási értesítések. Felhőszolgáltató (CSP) közvetlen számlapartnerek további riasztásokat láthatnak a tevékenységekről, például: rendellenes számítási használat, kriptobányászat, Azure Machine Learning-használat és szolgáltatásállapot-tanácsadási értesítések.
Riasztások lekérése webhookon keresztül
A partnerek regisztrálhatnak egy webhook eseményre: azure-fraud-event-detected, hogy riasztásokat kapjanak az erőforrás-változási eseményekről. További információért lásd a Partnerközpont webhook eseményeit.
Riasztások megtekintése és megválaszolása a Biztonsági riasztások irányítópulton
A CSP partnerek hozzáférhetnek a Partnerközpont biztonsági riasztások irányítópultjához a riasztások észleléséhez és megválaszolásához. További információ: Válasz a biztonsági eseményekre a Partnerközpont biztonsági riasztásainak irányítópultjával. A CSP-partnerek hozzáférhetnek a Partnerközpontban található biztonsági riasztások irányítópulthoz, hogy észleljék és megválaszolják a riasztásokat. További információ: Válasz a biztonsági eseményekre a Partnerközpont biztonsági riasztásainak irányítópultjával.
Riasztás részleteinek lekérése az API-val
A riasztások részleteit a Microsoft Graph Biztonsági riasztások API-n keresztül kaphatja meg.
Az új Microsoft Graph Biztonsági riasztások API használata (bétaverzió)
Előnyök: 2024 májusától elérhető a Microsoft Graph Security Alerts API előzetes verziója. Ez az API egységes API-átjárót biztosít más Microsoft-szolgáltatások, például a Microsoft Entra ID, a Teams és az Outlook számára.
bevezetési követelmények: Az előkészített CSP-partnereknek az új Biztonsági riasztások béta API-t kell használniuk. További információért lásd: Partnerbiztonsági riasztási API használata a Microsoft Graphben.
Hamarosan megjelenik a Microsoft Graph Security Alerts API V1 kiadása.
| Használati eset | API-k |
|---|---|
| Bevezetés a Microsoft Graph API-ba az Access Token lekéréséhez | Hozzáférés kérése egy felhasználó nevében |
| Biztonsági riasztások listázása a riasztások láthatóságának biztosításához | Biztonsági riasztások listázása |
| Kérje le a biztonsági riasztásokat, hogy a kiválasztott lekérdezési paraméter alapján betekintést kapjon egy adott riasztásba. | PartnerSecurityAlert lekérése |
| Token lekérése a Partnerközpont API-k megkereséséhez referenciainformációk céljából | Biztonságos alkalmazásmodell engedélyezése |
| A szervezeti profil adatainak lekérése | Szerezzen szervezeti profilt |
| Ügyféladatok lekérése azonosító alapján | Ügyfél lekérése azonosító alapján |
| Ügyfél közvetett viszonteladói adatainak lekérése azonosító alapján | Egy ügyfél partnereinek megszerzése |
| Az ügyfél előfizetési adatainak lekérése azonosító alapján | Előfizetés lekérése azonosító alapján |
| Riasztás állapotának frissítése és feloldása enyhítéskor | PartnerSecurityAlert frissítése |
A meglévő FraudEvents API támogatása
Fontos
A régi csalási események API a 2024. negyedik negyedévében megszűnik. További részletekért tekintse meg a partnerközpont havi biztonsági közleményeit. CSP-partnereknek át kell költözniük az új Microsoft Graph Security Alerts API-ra, amely már elérhető előzetes verzióban.
Az átmeneti időszakban a CSP-partnerek továbbra is használhatják a FraudEvents API-t további észlelési jelek lekéréséhez az X-NewEventsModel használatával. Ezzel a modellel új típusú riasztásokat kaphat, amint hozzáadja őket a rendszerhez. Kaphat például rendellenes számítási használatot, kriptobányászatot, Azure Machine Learning-használatot és szolgáltatásállapot-tanácsadási értesítéseket. Az új típusú riasztások korlátozott értesítéssel vehetők fel, mivel a fenyegetések is fejlődnek. Ha az API-val speciális kezelést használ a különböző riasztástípusokhoz, figyelje az alábbi API-kat a módosításokhoz:
- Csalási események lekérése
- Csalási esemény állapotának frissítése
Mi a teendő, ha biztonsági riasztási értesítést kap?
Az alábbi ellenőrzőlista a biztonsági értesítések érkezésekor javasolt következő lépéseket ismerteti.
- Ellenőrizze, hogy az e-mail-értesítés érvényes-e. Amikor biztonsági riasztásokat küldünk, a Microsoft Azure küldi őket a következő e-mail-címről:
no-reply@microsoft.com. A partnerek csak a Microsofttól kapnak értesítést. - Ha értesítést kap, az e-mail-riasztás a Műveletközpont portálján is megjelenik. Válassza a harang ikont a Műveletközpont riasztásainak megtekintéséhez.
- Tekintse át az Azure-előfizetéseket. Állapítsa meg, hogy az előfizetésben lévő tevékenység jogos és elvárt-e, vagy hogy a tevékenység jogosulatlan visszaélés vagy csalás következménye lehet-e.
- Tudasd velünk, hogy mit találtál, akár a Biztonsági riasztások irányítópultján, akár az API-n keresztül. Az API használatáról további információért tekintse meg a Csalási események állapotának frissítése című részt. A talált adatok leírását az alábbi kategóriákban találja:
- Legitim – A tevékenység várható vagy hamis pozitív jelzés.
- Csalás – A tevékenység jogosulatlan visszaélés vagy csalás következménye.
- Figyelmen kívül hagyás – A tevékenység régebbi riasztás, ezért figyelmen kívül kell hagyni. További információ: Miért kapnak a partnerek régebbi biztonsági riasztásokat?.
Milyen további lépéseket tehet a kompromisszum kockázatának csökkentése érdekében?
- Engedélyezze a többtényezős hitelesítést (MFA) az ügyfél- és partnerbérlőkön. Az ügyfelek Azure-előfizetéseinek kezeléséhez engedéllyel rendelkező fiókoknak MFA-kompatibilisnek kell lenniük. További információ: Felhőszolgáltató biztonsági ajánlott eljárásai és Ügyfélbiztonsági ajánlott eljárásai.
- Riasztások beállítása az Azure szerepköralapú hozzáférés-vezérlési (RBAC) hozzáférési engedélyeinek monitorozásához az ügyfelek Azure-előfizetéseihez. További információ: Azure-csomag – Előfizetések és erőforrások kezelése.
- Az ügyfelek Azure-előfizetéseinek engedélyváltozásainak naplózása. Tekintse át az Azure Monitor tevékenységnaplóját az Azure-előfizetéssel kapcsolatos tevékenységek megtekintéséhez.
- Tekintse át a kiadási anomáliákat a költségvetésével szemben az Azure költségkezelésében.
- Dolgozzon együtt az ügyfelekkel és oktassa őket a fel nem használt kvóta csökkentésére, hogy elkerülje az Azure-előfizetésben megengedett károkat: Kvóták áttekintése – Azure-kvóták.
- Kérés benyújtása az Azure kvóta kezelésére: Hogyan hozzunk létre Azure támogatási kérelmet - Azure támogatási lehetőség
- Tekintse át az aktuális kvótahasználatot: Azure Quota REST API-referencia
- Ha olyan kritikus számítási feladatokat futtat, amelyek nagy kapacitást igényelnek, fontolja meg az igény szerinti kapacitásfoglalást vagy az Azure fenntartott virtuális géppéldányokat.
Mi a teendő, ha egy Azure-előfizetés biztonsága sérül?
Azonnal intézkedhet a fiók és az adatok védelme érdekében. Az alábbiakban néhány javaslatot és tippet talál egy lehetséges incidens gyors megválaszolásához és megoldásához, hogy csökkentse annak hatását és általános üzleti kockázatát.
A felhőalapú környezetekben a sérült identitások szervizelése elengedhetetlen a felhőalapú rendszerek általános biztonságának biztosításához. A feltört identitások hozzáférést biztosíthatnak a támadóknak a bizalmas adatokhoz és erőforrásokhoz, ezért elengedhetetlen a fiók és az adatok védelme érdekében azonnali lépések végrehajtása.
A következő hitelesítő adatok azonnali módosítása:
- Bérlői rendszergazdák és RBAC-hozzáférés az Azure-előfizetéseken. Mi az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)?
- Kövesse a jelszóval kapcsolatos útmutatást. Jelszóházirend-javaslatok
- Győződjön meg arról, hogy az összes bérlői rendszergazda és RBAC-tulajdonos regisztrálta és érvényesítette az MFA-t.
Tekintse át és ellenőrizze az összes rendszergazdai felhasználói jelszó-helyreállítási e-mailt és telefonszámot a Microsoft Entra-azonosítón belül. Szükség esetén frissítse őket. Jelszóházirendre vonatkozó ajánlások
Tekintse át, hogy mely felhasználók, bérlők és előfizetések vannak veszélyben az Azure portalon.
- Vizsgálja meg a kockázatot a Microsoft Entra ID felkeresésével, hogy áttekintse az Identity Protection kockázati jelentéseit. További információkért lásd a Kockázat vizsgálata a Microsoft Entra ID Protection
- Az Identity Protection licenckövetelményei
- Kockázatok orvoslása és a felhasználók tiltásának feloldása
- A Microsoft Entra ID Protection felhasználói élmények
Tekintse át a Microsoft Entra bejelentkezési naplóit az ügyfél bérlőjében, hogy azonosítani tudja a szokatlan bejelentkezési mintákat a biztonsági riasztás aktiválásának időpontja körül.
A rosszindulatú szereplők kizárása után takarítsa ki a kompromittált erőforrásokat. Tartsa szemmel az érintett előfizetést, és győződjön meg arról, hogy nincs további gyanús tevékenység. Emellett érdemes rendszeresen áttekinteni a naplókat és az auditnaplókat, hogy a fiókja biztonságos legyen.
- Ellenőrizze, hogy vannak-e jogosulatlan tevékenységek az Azure Aktivitásnaplóban, például a számlázás változásai, a kiszámlázatlan kereskedelmi fogyasztási sorok felhasználása vagy a konfigurációk módosítása.
- Vizsgálja felül a költséganomáliákat az ügyfél költségkeretéhez képest az Azure költségkezelés keretében.
- A sérült erőforrások letiltása vagy törlése:
- Azonosítsa és zárja ki a fenyegető szereplőt: A Microsoft és az Azure biztonsági erőforrásai segítenek a rendszerszintű identitás-kompromittálódás helyreállításában.
- Ellenőrizze az Azure-tevékenységnaplót bármilyen előfizetési szintű módosítás esetén.
- Felszabadíthatja és eltávolíthatja a jogosulatlan fél által létrehozott erőforrásokat. Tekintse meg , hogyan tarthatja tisztán Az Azure-előfizetését | Azure Tippek és trükkök (videó)
- Az ügyfelek Azure-előfizetéseit a(z) API-n keresztül (Azure-jogosultságok lemondása) vagy a Partnerközpont portálján keresztül mondhatja le.
- Azonnal lépjen kapcsolatba az Azure-támogatással, és jelentse az eseményt.
- Az esemény után tároló takarítása: Nem csatlakoztatott Azure-beli felügyelt és nem felügyelt lemezek keresése és törlése – Azure-beli virtuális gépek.
A fiók feltörésének megakadályozása egyszerűbb, mint a helyreállítás. Ezért fontos a biztonsági helyzet megerősítése.
- Tekintse át az ügyfelek Azure-előfizetéseinek kvótáját, és küldje el a fel nem használt kvóta csökkentésére vonatkozó kérelmet. További információért lásd: Kvóta csökkentése.
- Tekintse át és implementálja a Cloud Solution Provider biztonsági ajánlott eljárásait.
- Az ügyfelekkel együttműködve megtanulhatja és implementálhatja az ügyfélbiztonsági legjobb gyakorlatokat.
- Győződjön meg arról, hogy a Defender for Cloud be van kapcsolva (van egy ingyenes szint is ehhez a szolgáltatáshoz).
- Győződjön meg arról, hogy a Defender for Cloud be van kapcsolva (A szolgáltatáshoz elérhető egy ingyenes szint).
További információért lásd a támogatás című cikket.
További monitorozási eszközök
- Riasztások beállítása az Azure portálról
- Azure-költségvetés beállítása az ügyfelek számára
A végfelhasználók előkészítése
A Microsoft értesítéseket küld az Azure-előfizetéseknek, amelyek a végfelhasználókhoz kerülnek. A végfelhasználóval együttműködve gondoskodjon arról, hogy megfelelően járjanak el, és riasztást kapnak a környezetük különböző biztonsági problémáiról:
- Állítson be használati riasztásokat az Azure Monitor vagy az Azure Cost Management használatával.
- Állítsa be a Szolgáltatásállapot-értesítéseket, hogy tájékozódhasson a Microsoft biztonsági és egyéb kapcsolódó problémáiról szóló értesítéseiről.
- A szervezet bérlői rendszergazdájával (ha nem a partner felügyeli) együttműködve fokozott biztonsági intézkedéseket kényszeríthet ki a bérlőre (lásd a következő szakaszt).
További információ a bérlő védelméről
- Tekintse át és alkalmazza az Azure-eszközök működési biztonsági ajánlott eljárásait.
- Többtényezős hitelesítés bevezetése az identitásbiztonsági helyzet megerősítéséhez.
- Kockázati szabályzatok és riasztások bevezetése magas kockázattal rendelkező felhasználóknál és bejelentkezéseknél:Mi az a Microsoft Entra ID-védelem?.
Ha gyanítja, hogy jogosulatlanul használja az Ön vagy az ügyfél Azure-előfizetését, forduljon a Microsoft Azure ügyfélszolgálatához , hogy a Microsoft felgyorsíthassa az esetleges további kérdéseket és problémákat.
Ha konkrét kérdései vannak a Partnerközponttal kapcsolatban, küldjön támogatási kérelmet a Partnerközpontban. További információért: Kapjon támogatást a Partnerközpontban.
Biztonsági értesítések ellenőrzése a Tevékenységnaplók területen
- Jelentkezzen be a Partnerközpontba, és válassza a beállítások (fogaskerék) ikont a jobb felső sarokban, majd válassza a Fiókbeállítások munkaterületet.
- Navigáljon a tevékenységnaplókhoz a bal oldali panelen.
- Állítsa be a Kezdő és a To dátumot a felső szűrőben.
- A Szűrés művelettípus szerint menüben válassza az Azure fraud esemény észlelve lehetőséget. A kiválasztott időszakban észlelt összes biztonsági riasztást látnia kell.
Miért kapnak a partnerek régebbi Azure-biztonsági riasztásokat?
A Microsoft 2021 decembere óta küld Azure Fraud-riasztásokat. Korábban azonban a riasztási értesítés csak az opt-in preferencia alapján történt, ahol a partnereknek le kellett fogadniuk az értesítéseket. Ezt a viselkedést megváltoztattuk. A partnereknek most meg kell oldaniuk az összes megnyitott csalási riasztást (beleértve a régi riasztásokat is). A saját és ügyfelei biztonsági helyzetének védelme érdekében kövesse a Felhőmegoldás-szolgáltató biztonsági legjobb gyakorlatait.
A Microsoft elküldi a csalások napi összegzését (ez az érintett partnerek, ügyfelek és előfizetések száma), ha az elmúlt 60 napban aktív, megoldatlan csalási riasztás történt. A Microsoft elküldi a csalások napi összegzését (ez az érintett partnerek, ügyfelek és előfizetések száma), ha az elmúlt 60 napban aktív, megoldatlan csalási riasztás történt.
Miért nem látom az összes riasztást?
A biztonsági riasztások értesítései bizonyos rendellenes műveletek mintáinak észlelésére korlátozódnak az Azure-ban. A biztonsági riasztások értesítései nem észlelik és nem garantálják az összes rendellenes viselkedés észlelését. Kritikus fontosságú, hogy más monitorozási módszereket is használjon az ügyfél Azure-előfizetéseiben a rendellenes használat észleléséhez, például az Azure havi költségkereteihez. Ha jelentős és hamis negatív riasztást kap, forduljon a partnertámogatáshoz, és adja meg a következő információkat:
- Partner bérlő azonosító
- Ügyfél bérlőjének azonosítója
- Előfizetés azonosítója
- Erőforrás-azonosító
- Hatás kezdete és hatás vége dátumok
Kapcsolódó tartalom
- Integrálja a Security Alerts API-t, és regisztráljon egy webhookot.