Mendeteksi dan menangani peringatan keamanan
Peran yang sesuai: Agen admin
Berlaku untuk: Tagihan Langsung Pusat Mitra dan Penyedia Tidak Langsung
Anda dapat berlangganan peringatan keamanan baru untuk kejadian yang terkait dengan penyalahgunaan oleh pihak yang tidak sah dan pengambilalihan akun. Pemberitahuan keamanan ini adalah salah satu dari banyak cara Microsoft menyediakan data yang Anda butuhkan untuk mengamankan penyewa pelanggan Anda. Anda dapat berlangganan peringatan keamanan baru untuk deteksi yang terkait dengan penyalahgunaan pihak yang tidak sah dan pengambilalihan akun. Pemberitahuan keamanan ini adalah salah satu dari banyak cara Microsoft menyediakan data yang Anda butuhkan untuk mengamankan penyewa pelanggan Anda.
Penting
Sebagai mitra dalam program Penyedia Solusi Cloud (CSP), Anda bertanggung jawab atas konsumsi Azure pelanggan Anda, jadi penting bagi Anda untuk mengetahui penggunaan anomali dalam langganan Azure pelanggan Anda. Gunakan pemberitahuan keamanan Microsoft Azure untuk mendeteksi pola aktivitas penipuan dan penyalahgunaan di sumber daya Azure untuk membantu mengurangi paparan anda terhadap risiko transaksi online. Pemberitahuan keamanan Microsoft Azure tidak mendeteksi semua jenis aktivitas penipuan atau penyalahgunaan, jadi sangat penting bagi Anda untuk menggunakan metode pemantauan tambahan untuk membantu mendeteksi penggunaan anomali di langganan Azure pelanggan Anda. Untuk informasi selengkapnya, lihat Mengelola nonpembayaran, penipuan, atau penyalahgunaan dan Mengelola akun pelanggan.
Tindakan yang diperlukan: Dengan pemantauan dan kesadaran sinyal, Anda dapat segera mengambil tindakan untuk menentukan apakah perilaku tersebut sah atau penipuan. Jika perlu, Anda dapat menangguhkan sumber daya Azure atau langganan Azure yang terpengaruh untuk mengurangi masalah.
Pastikan bahwa alamat email pilihan untuk Agen Admin Mitra Anda up-to-tanggal, sehingga mereka diberi tahu bersama dengan kontak keamanan.
Berlangganan pemberitahuan pemberitahuan keamanan
Anda dapat berlangganan berbagai pemberitahuan mitra berdasarkan peran Anda.
Pemberitahuan keamanan memberi tahu Anda saat langganan Azure pelanggan Anda menunjukkan kemungkinan aktivitas anomali.
Mendapatkan pemberitahuan melalui email
- Masuk ke Pusat Mitra dan pilih Pemberitahuan (bel).
- Pilih Preferensi saya.
- Atur alamat email pilihan jika Anda belum mengaturnya.
- Atur bahasa pilihan untuk pemberitahuan jika Anda belum mengaturnya.
- Pilih Edit di samping preferensi pemberitahuan email.
- Centang semua kotak yang berkaitan dengan Pelanggan di kolom Ruang Kerja. (Untuk berhenti berlangganan, batalkan pilihan bagian transaksi di bawah ruang kerja pelanggan.)
- Pilih Simpan.
Kami mengirim pemberitahuan keamanan saat mendeteksi kemungkinan aktivitas pemberitahuan keamanan atau penyalahgunaan di beberapa langganan Microsoft Azure pelanggan Anda. Ada tiga jenis email:
- Ringkasan harian pemberitahuan keamanan yang belum terselesaikan (jumlah mitra, pelanggan, dan langganan yang terpengaruh oleh berbagai jenis pemberitahuan)
- Pemberitahuan keamanan hampir real-time. Untuk mendapatkan daftar langganan Azure yang memiliki potensi masalah keamanan, lihat Dapatkan Peristiwa Penipuan.
- Pemberitahuan saran keamanan hampir real-time. Pemberitahuan ini memberikan visibilitas ke dalam pemberitahuan yang dikirim ke pelanggan saat ada pemberitahuan keamanan.
Penyedia Solusi Cloud (CSP) mitra penagihan langsung dapat melihat lebih banyak pemberitahuan aktivitas, misalnya: penggunaan komputasi yang anomali, penambangan kripto, penggunaan Azure Pembelajaran Mesin, dan pemberitahuan konsultasi kesehatan layanan. Mitra penagihan langsung Penyedia Solusi Cloud (CSP) dapat melihat lebih banyak pemberitahuan untuk kegiatan, misalnya penggunaan komputasi anomali, penambangan kripto, penggunaan Azure Machine Learning, dan pemberitahuan saran kesehatan layanan.
Mendapatkan pemberitahuan melalui webhook
Mitra dapat mendaftar ke peristiwa webhook: azure-fraud-event-detected untuk menerima pemberitahuan peristiwa perubahan sumber daya. Untuk informasi selengkapnya, lihat event webhook Pusat Mitra.
Melihat dan merespons pemberitahuan melalui dasbor Pemberitahuan Keamanan
Mitra CSP dapat mengakses dasbor Pemberitahuan Keamanan untuk mendeteksi dan merespons pemberitahuan. Untuk informasi selengkapnya, lihat Menanggapi peristiwa keamanan dengan dasbor Pusat Pemberitahuan Keamanan Mitra. Mitra CSP dapat mengakses dasbor Peringatan Keamanan Pusat Mitra untuk mendeteksi dan merespons peringatan. Untuk informasi selengkapnya, lihat Merespons peristiwa keamanan dengan dasbor Pemberitahuan Keamanan Pusat Mitra.
Mendapatkan detail pemberitahuan melalui API
Anda bisa mendapatkan detail pemberitahuan melalui Microsoft Graph Security Alerts API.
Menggunakan Microsoft Graph Security Alerts API (Beta) baru
Manfaat: Mulai Mei 2024, versi pratinjau Microsoft Graph Security Alerts API tersedia. API ini memberikan pengalaman gateway API terpadu di seluruh layanan Microsoft lain seperti MICROSOFT Entra ID, Teams, dan Outlook.
Persyaratan onboarding: Mitra CSP yang di-onboarding diperlukan untuk menggunakan API Beta Pemberitahuan Keamanan baru. Untuk informasi selengkapnya, lihat Menggunakan API pemberitahuan keamanan mitra di Microsoft Graph.
Rilis Microsoft Graph Security Alerts API V1 akan segera hadir.
| Kasus penggunaan | Antarmuka Pemrograman Aplikasi (API) |
|---|---|
| Integrasikan ke Microsoft Graph API untuk mendapatkan Akses Token | Dapatkan akses sebagai pengguna |
| Mencantumkan Pemberitahuan Keamanan untuk mendapatkan visibilitas ke dalam pemberitahuan | Daftar securityAlerts |
| Dapatkan Pemberitahuan Keamanan untuk mendapatkan visibilitas ke dalam pemberitahuan tertentu berdasarkan param kueri yang dipilih. | Dapatkan partnerSecurityAlert |
| Dapatkan token untuk memanggil API Pusat Mitra untuk informasi referensi | Aktifkan model aplikasi yang aman |
| Mendapatkan informasi Profil Organisasi Anda | Dapatkan profil organisasi |
| Dapatkan informasi Pelanggan Anda dengan ID | Dapatkan pelanggan berdasarkan ID |
| Dapatkan informasi Penjual Tidak Langsung dari Pelanggan berdasarkan ID | Dapatkan mitra dari pelanggan |
| Dapatkan informasi Langganan Pelanggan berdasarkan ID | Dapatkan langganan berdasarkan ID |
| Memperbarui status peringatan dan menyelesaikan ketika masalah telah diatasi | Perbarui Partner Security Alert |
Dukungan untuk API FraudEvents yang ada
Penting
API peristiwa penipuan yang lama akan dihapus pada tahun kalender kuartal ke-4 2024. Untuk detail selengkapnya, silakan lihat pengumuman Keamanan Pusat Mitra bulanan. Mitra CSP harus bermigrasi ke API Microsoft Graph Security Alerts baru, yang sekarang tersedia dalam pratinjau.
Selama periode transisi, mitra CSP dapat terus menggunakan API FraudEvents untuk mendapatkan sinyal deteksi ekstra menggunakan X-NewEventsModel. Dengan model ini, Anda bisa mendapatkan jenis pemberitahuan baru saat ditambahkan ke sistem. Misalnya, Anda bisa mendapatkan penggunaan komputasi anomali, penambangan kripto, penggunaan Azure Machine Learning, dan pemberitahuan saran kesehatan layanan. Jenis pemberitahuan baru dapat ditambahkan dengan pemberitahuan terbatas, karena ancaman juga berkembang. Jika Anda menggunakan penanganan khusus melalui API untuk jenis pemberitahuan yang berbeda, pantau API ini untuk perubahan:
- Mendapatkan peristiwa penipuan
- Memperbarui status kejadian penipuan
Apa yang harus dilakukan saat Anda menerima pemberitahuan pemberitahuan keamanan
Daftar periksa berikut ini menyediakan langkah berikutnya yang disarankan untuk apa yang harus dilakukan saat Anda menerima pemberitahuan keamanan.
- Periksa untuk memastikan pemberitahuan email valid. Saat kami mengirim pemberitahuan keamanan, pemberitahuan tersebut dikirim dari Microsoft Azure, dengan alamat email:
no-reply@microsoft.com. Mitra hanya menerima pemberitahuan dari Microsoft. - Saat diberi tahu, Anda juga dapat melihat pemberitahuan email di portal Pusat Tindakan. Pilih ikon bel untuk melihat pemberitahuan Pusat Tindakan.
- Tinjau langganan Azure. Tentukan apakah aktivitas dalam langganan sah dan diharapkan, atau apakah aktivitas tersebut mungkin disebabkan oleh penyalahgunaan atau penipuan yang tidak sah.
- Beri tahu kami apa yang Anda temukan, baik melalui dasbor Pemberitahuan Keamanan atau dari API. Untuk mempelajari selengkapnya tentang menggunakan API, lihat Perbarui status peristiwa penipuan. Gunakan kategori berikut untuk menjelaskan apa yang Anda temukan:
- &lk;strong>Sah</strong> - Aktivitas ini diharapkan atau mungkin merupakan sinyal positif yang salah.
- Penipuan - Aktivitas ini disebabkan oleh penyalahgunaan atau penipuan yang tidak sah.
- Abaikan - Aktivitas ini adalah peringatan lebih lama dan harus diabaikan. Untuk informasi selengkapnya, lihat Mengapa mitra menerima Pemberitahuan Keamanan yang lebih lama?.
Langkah lain apa yang dapat Anda ambil untuk menurunkan risiko kompromi?
- Aktifkan autentikasi multifaktor (MFA) pada pelanggan dan penyewa mitra Anda. Akun yang memiliki izin untuk mengelola langganan Azure pelanggan harus mematuhi MFA. Untuk informasi selengkapnya, lihat praktik terbaik keamanan Penyedia Solusi Cloud dan praktik terbaik keamanan pelanggan .
- Siapkan notifikasi untuk memantau izin akses RBAC Azure Anda pada langganan pelanggan Azure. Untuk informasi selengkapnya, lihat paket Azure - Mengelola langganan dan sumber daya.
- Mengaudit perubahan izin pada langganan Azure pelanggan Anda. Tinjau log aktivitas Azure Monitor untuk aktivitas yang terkait dengan langganan Azure.
- Tinjau anomali pengeluaran terhadap anggaran pengeluaran Anda di pengelolaan biaya Azure.
- Mendidik dan bekerja sama dengan pelanggan untuk mengurangi kuota yang tidak digunakan guna mencegah kerusakan yang diizinkan pada langganan Azure: Gambaran Umum Kuota - Kuota Azure.
- Mengirimkan permintaan untuk mengelola kuota Azure: Cara membuat permintaan dukungan Azure - Dukungan untuk Azure
- Tinjau penggunaan kuota saat ini: Referensi REST API Kuota Azure
- Jika Anda menjalankan beban kerja penting yang memerlukan kapasitas tinggi, pertimbangkan reservasi kapasitas on-demand atau instans mesin virtual Azure yang telah dipesan.
Apa yang harus Anda lakukan jika langganan Azure disusupi?
Ambil tindakan segera untuk melindungi akun dan data Anda. Berikut adalah beberapa saran dan tips untuk merespons dengan cepat dan mengendalikan potensi insiden, guna mengurangi dampaknya dan risiko bisnis secara keseluruhan.
Memulihkan identitas yang disusupi di lingkungan cloud sangat penting untuk memastikan keamanan keseluruhan sistem berbasis cloud. Identitas yang disusupi dapat memberi penyerang akses ke data dan sumber daya sensitif, sehingga penting untuk segera mengambil tindakan untuk melindungi akun dan data.
Segera ubah kredensial untuk:
- Admin penyewa dan akses RBAC pada Langganan Azure. Apa itu kontrol akses berbasis peran Azure (Azure RBAC)?
- Ikuti panduan kata sandi. Rekomendasi kebijakan kata sandi
- Pastikan semua admin penyewa dan pemilik RBAC memiliki MFA yang terdaftar dan diberlakukan.
Tinjau dan verifikasi semua email pemulihan kata sandi pengguna admin dan nomor telepon dalam ID Microsoft Entra. Perbarui jika perlu. Rekomendasi kebijakan kata sandi
Tinjau pengguna, instansi, dan langganan mana yang berisiko dalam portal Azure.
- Masuk ke Microsoft Entra ID untuk menyelidiki risiko dengan meninjau Laporan Risiko Perlindungan Identitas. Untuk informasi selengkapnya, lihat Menyelidiki risiko Microsoft Entra ID Protection
- Persyaratan Lisensi untuk Perlindungan Identitas
- Memulihkan risiko dan membuka blokir pengguna
- Pengalaman Pengguna dalam Microsoft Entra ID Protection
Tinjau log masuk Microsoft Entra pada penyewa pelanggan untuk melihat pola masuk tidak biasa pada saat pemberitahuan keamanan dipicu.
Setelah pelaku jahat dikeluarkan, bersihkan sumber daya yang disusupi. Perhatikan langganan yang terpengaruh untuk memastikan tidak ada aktivitas mencurigakan lebih lanjut. Sebaiknya tinjau log dan jejak audit Anda secara teratur untuk memastikan bahwa akun Anda aman.
- Periksa aktivitas yang tidak sah di Azure Activity Log, misalnya perubahan pada penagihan, penggunaan untuk item baris konsumsi komersial yang tidak ditagih, atau konfigurasi.
- Tinjau anomali pengeluaran terhadap anggaran pengeluaran pelanggan di manajemen biaya Azure.
- Nonaktifkan atau hapus sumber daya yang disusupi:
- Identifikasi dan keluarkan pelaku ancaman: Gunakan sumber daya keamanan Microsoft dan Azure untuk membantu memulihkan dari kompromi identitas sistemik.
- Periksa Log Aktivitas Azure untuk setiap perubahan tingkat langganan.
- Batalkan alokasi dan hapus sumber daya apa pun yang dibuat oleh pihak yang tidak berwenang. Tonton Cara menjaga langganan Azure Anda tetap bersih | Tips dan Trik Azure (video)
- Anda dapat membatalkan langganan Azure pelanggan melalui API (Membatalkan hak langganan Azure) atau melalui portal Partner Center.
- Hubungi dukungan Azure segera dan laporkan insiden
- Membersihkan penyimpanan setelah peristiwa: Temukan dan hapus disk terkelola dan tidak terkelola Azure yang tidak terpasang - Mesin Virtual Azure
Mencegah kompromi akun lebih mudah daripada memulihkannya. Oleh karena itu, penting untuk memperkuat postur keamanan Anda.
- Tinjau kuota pada langganan Azure pelanggan dan kirimkan permintaan untuk mengurangi kuota yang tidak digunakan. Untuk informasi selengkapnya, lihat Kurangi Kuota.
- Tinjau dan terapkan praktik terbaik keamanan Penyedia Solusi Cloud.
- Bekerja samalah dengan pelanggan Anda untuk mempelajari dan menerapkan Praktik Terbaik Keamanan Pelanggan.
- Pastikan Defender for Cloud diaktifkan (Ada tingkat gratis yang tersedia untuk layanan ini).
- Pastikan Defender for Clouddiaktifkan (Ada lapisan gratis yang tersedia untuk layanan ini).
Untuk informasi lebih lanjut, lihat artikel dukungan.
Alat lainnya untuk pemantauan
- Siapkan pemberitahuan dari portal Azure
- Mengatur anggaran belanja Azure untuk pelanggan
Cara menyiapkan pelanggan akhir Anda
Microsoft mengirim pemberitahuan ke langganan Azure, yang diterima oleh pelanggan akhir Anda. Bekerja dengan pelanggan akhir Anda untuk memastikan bahwa mereka dapat bertindak dengan tepat dan diberi tahu tentang berbagai masalah keamanan dalam lingkungan mereka:
- Siapkan peringatan penggunaan dengan Azure Monitor atau Azure Cost Management.
- Siapkan Service Health Alerts untuk mengetahui pemberitahuan lain dari Microsoft tentang keamanan dan masalah terkait lainnya.
- Bekerja dengan Admin Penyewa organisasi Anda (jika tidak dikelola oleh Mitra) untuk menerapkan peningkatan langkah-langkah keamanan pada penyewa Anda (lihat bagian berikut).
Informasi tambahan untuk melindungi penyewa Anda
- Tinjau dan terapkan praktik terbaik keamanan operasional untuk aset Azure Anda.
- Terapkan Autentikasi Multifaktor untuk memperkuat langkah keamanan identitas Anda.
- Menerapkan kebijakan risiko dan pemberitahuan untuk pengguna dan masuk yang Berisiko Tinggi:Apa itu Microsoft Entra ID Protection?.
Jika Anda menduga adanya penggunaan langganan Azure yang tidak sah pada Anda atau pelanggan Anda, hubungi Dukungan Microsoft Azure agar Microsoft dapat lebih cepat membantu dalam menyelesaikan pertanyaan atau kekhawatiran lainnya.
Jika Anda memiliki pertanyaan khusus mengenai Pusat Mitra, kirimkan permintaan dukungan di Pusat Mitra. Untuk informasi selengkapnya: Dapatkan dukungan di Partner Center.
Periksa pemberitahuan keamanan di bawah Log aktivitas
- Masuk ke Pusat Mitra dan pilih ikon pengaturan (gerigi) di sudut kanan atas, lalu pilih ruang kerja Pengaturan Akun.
- Arahkan ke Log aktivitas di panel kiri.
- Atur tanggal mulai dan tanggal selesai pada filter di bagian atas.
- Di Filter berdasarkan Jenis Operasi, pilih Peristiwa Penipuan Azure Terdeteksi. Anda akan dapat melihat semua pemberitahuan keamanan Peristiwa yang terdeteksi untuk periode yang dipilih.
Mengapa mitra menerima pemberitahuan keamanan Azure yang lebih lama?
Microsoft telah mengirim pemberitahuan Penipuan Azure sejak Desember 2021. Namun, di masa lalu, pemberitahuan hanya didasarkan pada preferensi opsi ikut serta, di mana mitra harus ikut serta untuk menerima pemberitahuan. Kami mengubah perilaku ini. Mitra sekarang harus menyelesaikan semua pemberitahuan penipuan (termasuk pemberitahuan lama) yang terbuka. Untuk mengamankan postur keamanan Anda dan pelanggan Anda, ikuti praktik terbaik keamanan Penyedia Solusi Cloud.
Microsoft mengirim ringkasan penipuan harian (ini adalah jumlah mitra, pelanggan, dan langganan yang terpengaruh) jika ada pemberitahuan penipuan aktif yang tidak terselesaikan dalam 60 hari terakhir. Microsoft mengirim ringkasan penipuan harian (ini adalah jumlah mitra, pelanggan, dan langganan yang terpengaruh) jika ada pemberitahuan penipuan aktif yang tidak terselesaikan dalam 60 hari terakhir.
Mengapa saya tidak melihat semua pemberitahuan?
Pemberitahuan pemberitahuan keamanan terbatas pada mendeteksi pola tindakan anomali tertentu di Azure. Pemberitahuan pemberitahuan keamanan tidak mendeteksi dan tidak dijamin mendeteksi semua perilaku anomali. Sangat penting bagi Anda untuk menggunakan metode pemantauan lain untuk membantu mendeteksi penggunaan anomali dalam langganan Azure pelanggan Anda, seperti anggaran pengeluaran Azure bulanan. Jika Anda menerima pemberitahuan yang signifikan dan negatif salah, hubungi Dukungan Mitra dan berikan informasi berikut:
- ID Penyewa Mitra
- ID Penyewa Pelanggan
- ID Langganan
- ID Sumber Daya
- Tanggal mulai dampak dan tanggal akhir dampak
Konten terkait
- Integrasikan dengan API Security Alerts dan daftarkan webhook.