Megosztás a következőn keresztül:

Biztonsági események megválaszolása a Biztonsági riasztások irányítópulttal

  • Cikk

Megfelelő szerepkörök: Rendszergazdai ügynök

A következőkre vonatkozik: Partnerközpont – közvetlen számlapartnerek és közvetett szolgáltatók

A Partnerközpont biztonsági riasztások irányítópultja segít gyorsan reagálni a Partnerközpontban vagy az ügyfél bérlőjében előforduló biztonsági, csalási és egyéb eseményekre.

API-k

Ha több Microsoft Entra-bérlője van a Partnerközpontban, a Biztonsági riasztások irányítópult használata helyett az alábbi API-k használatával kaphat és frissíthet riasztásokat :

Előfeltételek

A Partnerközpont biztonsági riasztások irányítópultjának használatához a felhasználói fiókjához rendszergazdai ügynöki szerepkört kell hozzárendelni.

A riasztásokra adott időben történő válasz fontossága

Amikor riasztást hoz létre az irányítópultján, kritikus fontosságú, hogy a lehető leghamarabb osztályozza és mérsékelje az incidenst, amely a riasztást okozta. Alapelvként azt javasoljuk, hogy egy órán belül válaszoljon a riasztásokra. A csalás típusú riasztások esetében minél tovább tart a riasztást okozó incidens megválaszolása és enyhítése, annál nagyobb a lehetséges pénzügyi hatás.

Az irányítópult megnyitása

A Partnerközpont biztonsági riasztásainak irányítópultjának megnyitása:

  1. Jelentkezzen be a Partnerközpontba rendszergazdai ügynök szerepkörrel rendelkező felhasználóként.
  2. Válassza ki az Insights-munkaterületet .
  3. A bal oldali menü Biztonság területén válassza a Riasztások lehetőséget.

Ezen a hivatkozáson közvetlenül az irányítópultra is léphet.

Riasztások megtekintése

Az irányítópult a következő riasztási kategóriákra vonatkozó információkat jeleníti meg.

Képernyőkép a Partnerközpont biztonsági riasztásainak irányítópultjáról, beleértve az átlagos válaszidőt, az új eseményeket ezen a héten, feloldva és megoldatlan állapotban.

  • Átlagos idő: A riasztásokra való válaszadás és a riasztások feloldásának átlagos időtartama az elmúlt 30 napban.
  • Új események ezen a héten: Az elmúlt hét nap új riasztásainak száma.
  • Feloldva: A megadott okkal (például jogszerű vagy csalással) feloldott riasztások száma.
  • Megoldatlan: A figyelmet igénylő megoldatlan riasztások száma.

A műszerfal alsó szakasza felsorolja azokat a figyelmeztetéseket, amelyek hatással vannak arra a Partnerközpont-bérlőre, ahol be van jelentkezve.

Képernyőkép a Biztonsági riasztások irányítópultról és a végrehajtható műveletekről, beleértve az előfizetés lemondását és az exportálást.

A táblázat a következő oszlopokat tartalmazza:

  • Riasztás neve: Magas szintű információ az észlelt adatokról.
  • Előfizetés azonosítója: Egy adott Azure-előfizetésben riasztás észlelésekor megjelenő azonosító.
  • Riasztás azonosítója: A riasztás egyedi azonosítója.
  • Riasztás állapota: A riasztás állapota (aktív vagy megoldott).
  • Először megfigyelték: A riasztás első megjelenésekor.
  • Legutóbb megfigyelt: A riasztás legutóbbi megjelenése.
  • Riasztás típusa: Az észlelt és a riasztást okozó tevékenység típusa. Két riasztástípus létezik:
    • Azure-értesítés: Azt jelzi, hogy a rendszer üzenetet küldött az érintett Azure-előfizetés ügyfélének, és szolgáltatásállapot-értesítésként jelenik meg. Az üzenet egy példánya megjelenik a riasztás részletei között.
    • Azure-használat: Az Azure-előfizetés tevékenységének szokatlan növekedését jelzi, vagy az előfizetésben előforduló rendellenes tevékenységet, például a kriptovaluta-bányászatot.
  • Súlyosság: A riasztásra való reagálás sürgőssége.

A Szűrő beállítással módosíthatja, hogy mely riasztások jelenjenek meg a Riasztás irányítópulton.

A Keresés funkcióval kereshet a mezőben megadott információkra vonatkozó összes riasztásban. A keresési eredmények a következő információkat tartalmazzák:

  • Előfizetés azonosítója
  • Riasztás azonosítója
  • Ügyfél neve

Műveletek a riasztások részleteinek oldalán

Ha további részleteket szeretne megjeleníteni egy riasztásról, válassza ki a riasztás nevét. Az alábbi példariasztás például egy Azure-előfizetésben előforduló kriptovaluta-bányászattal kapcsolatos viselkedést mutatja be.

Képernyőkép a kriptovaluta-bányászattal kapcsolatos riasztási adatokról.

Felső szakasz

A riasztás részleteinek lapjának tetején az ügyfél és a viszonteladó (ha van) adatai láthatók.

Riasztás leírása

A Riasztás leírása szakasz áttekintést nyújt a riasztás okáról, valamint a kivizsgálás lépéseiről.

Érintett erőforrások

Az Érintett erőforrások szakasz két műveletet tartalmaz:

  • Megjelölés jogosként: Megvizsgálta az erőforrásokat, és vagy nem talált bizonyítékot arra vonatkozóan, hogy a riasztás mit jelzett, vagy ellenőrizte az ügyféllel, hogy a viselkedés elvárt.
  • Megjelölés csalásként: Megvizsgálta az erőforrásokat, és megállapította, hogy azok a riasztásban jelzett viselkedést tanúsítják.

A riasztás vizsgálatának befejezésekor válasszon ki egy műveletet, amely közli a Partnerközponttal, hogy mit talált. Ha kiválaszt egy műveletet, a riasztás feloldva lesz. A kiválasztott művelet jelzi a riasztás feloldásának okát (vagyis az Ok értékét).

Erőforrás információi

Az Erőforrás adatai szakasz részletesen ismerteti a riasztást okozó észlelésben részt vevő erőforrásokat. Ebben a példában egy badvmtest nevű virtuális gép található a testserver nevű erőforráscsoportban. Az Első kapcsolati idő és a Legutóbbi kapcsolati idő értékek azt jelzik, hogy mikor észleltük először ezt az erőforrást, amikor kapcsolatba léptünk egy ismert bányászati készlettel, és a legutóbbi alkalommal, amikor megfigyeltük.

További információk

A További információ szakasz részletesen ismerteti az erőforrás által mutatott viselkedést, ha vannak ilyenek. Ebben a példában a badvmtest virtuális gép egy ismert bányász pool IP-címével kommunikált. Az Erőforrás adatai szakasz azt mutatja, hogy négyszer csatlakozott az IP-címhez az első kapcsolati idő és az utolsó kapcsolati idő között.

Források

Az Erőforrások szakaszban a hivatkozások segítségével többet tudhat meg a riasztásokról és a riasztások fogadásakor teendőkről.

Alsó szakasz

A riasztás részletes lapjának alján három gomb látható a végrehajtható műveletekhez.

Képernyőkép egy biztonsági riasztás aljáról, amelyen az előfizetés lemondásának, az előfizetés kezelésének vagy a riasztásokhoz való visszatérésnek a lehetősége látható.

  • Előfizetés lemondása: A művelet használatához globális rendszergazdai és rendszergazdai ügynöki szerepkörrel kell rendelkeznie. Ha a riasztás vizsgálata azt jelzi, hogy egy jogosulatlan fél túllépte az Azure-előfizetést, az Előfizetés lemondása lehetőséget választva felszabadíthatja az Azure-előfizetés összes erőforrását, és megjelölheti az előfizetés összes adatát törlésre a megőrzési időszak után.

    Mielőtt végrehajtja ezt a műveletet, javasoljuk, hogy kommunikáljon az ügyféllel a riasztásról, és (ha lehetséges) kérje meg a hozzájárulásukat az előfizetés lemondásához. Amikor kiválasztja a gombot, megjelenik egy párbeszédpanel, és megkéri, hogy erősítse meg, hogy tisztában van a művelet hatásával.

    Az előfizetés lemondásának párbeszédpanelét ábrázoló képernyőkép, amelyen a visszalépés és a lemondás folytatása lehetőség látható.

    Az Azure-előfizetés lemondásához válassza a Folytatás lemondással lehetőséget. Ha a Folytatja a lemondással lehetőséget választja, az előfizetés megszűnik, és az előfizetésre vonatkozó összes riasztást a Csalás okkal Megoldottra jelöli a rendszer.

    További információ: Azure-előfizetés lemondása.

  • Előfizetés kezelése: Ez a művelet az Azure Portalra irányítja az AOBO (Admin on Behalf of) (AOBO) használatával. Az ügyfél által megadott hozzáférési szint alapján lehetséges, hogy tovább vizsgálhatja a riasztás részleteiben megjelölt erőforrásokat. További információ: Előfizetések és erőforrások kezelése az Azure-csomagban.

  • Vissza a riasztásokhoz: Ez a művelet visszaadja a Riasztások irányítópultot a riasztások listájával.

Műveletek a Biztonsági riasztások irányítópulton

A Biztonsági riasztások irányítópult riasztáslistája fölött két műveletet hajthat végre.

Képernyőkép a Biztonsági riasztások irányítópultról, valamint az előfizetés lemondásának és az adatok exportálásának lehetőségeiről.

  • Előfizetés lemondása: A művelet használatához globális rendszergazdai és rendszergazdai ügynöki szerepkörrel kell rendelkeznie. Ha a riasztás vizsgálata azt jelzi, hogy egy jogosulatlan fél túllépte az Azure-előfizetést, az Előfizetés lemondása lehetőséget választva felszabadíthatja az Azure-előfizetés összes erőforrását, és megjelölheti az előfizetés összes adatát törlésre a megőrzési időszak után.

    Mielőtt végrehajtja ezt a műveletet, javasoljuk, hogy kommunikáljon az ügyféllel a riasztásról, és (ha lehetséges) kérje meg a hozzájárulásukat az előfizetés lemondásához. Amikor kiválasztja a gombot, megjelenik egy párbeszédpanel, és megkéri, hogy erősítse meg, hogy tisztában van a művelet hatásával.

    Az Azure-előfizetés lemondásához válassza a Folytatás lemondással lehetőséget.

    Képernyőkép az előfizetés lemondását megerősítő párbeszédpanelről.

  • Exportálás: Ha a riasztásokkal kapcsolatos összes részletes információt exportálni szeretné, az Exportálás művelet használatával letölthet egy vesszővel tagolt értékfájlt (CSV), amely tartalmazza a riasztási adatokat.

    Ez a művelet létrehoz egy CSV-fájlt, amely csak az éppen megtekintett riasztásokat jeleníti meg. Az exportálni kívánt riasztások módosításához használja a Szűrés lehetőséget.

Kapcsolódó tartalom