다음을 통해 공유

보안 경고 감지 및 응답

  • 아티클

적절한 역할: 관리 에이전트

적용 대상: 파트너 센터 직접 청구 및 간접 공급자

무단 사용자 남용 및 계정 탈취와 관련된 탐지에 대한 새 보안 경고를 구독할 수 있습니다. 이 보안 경고는 Microsoft에서 고객의 테넌트 보안을 보호하는 데 필요한 데이터를 제공하는 여러 가지 방법 중 하나입니다. 허가되지 않은 사용자의 남용 및 계정 탈취와 관련된 탐지에 대한 새 보안 경고를 구독할 수 있습니다. 이 보안 경고는 Microsoft에서 고객의 테넌트 보안을 보호하는 데 필요한 데이터를 제공하는 여러 가지 방법 중 하나입니다.

중요

CSP(클라우드 솔루션 공급자) 프로그램의 파트너는 고객의 Azure 사용을 담당하므로 고객의 Azure 구독에서 비정상적인 사용량을 인식하는 것이 중요합니다. Microsoft Azure 보안 경고를 사용하여 Azure 리소스에서 사기성 활동 및 오용 패턴을 감지하여 온라인 트랜잭션 위험에 대한 노출을 줄일 수 있습니다. Microsoft Azure 보안 경고는 모든 유형의 사기 행위 또는 오용을 감지하지 않으므로 고객의 Azure 구독에서 비정상적인 사용량을 감지하는 데 도움이 되는 추가 모니터링 방법을 사용하는 것이 중요합니다. 자세한 내용은 미지급, 사기 또는 오용 관리 및 고객 계정 관리 을 참조하세요.

필요한 작업: 모니터링 및 신호 인식을 통해 즉각적인 조치를 취하여 동작이 합법적인지 사기성인지 확인할 수 있습니다. 필요한 경우 영향을 받는 Azure 리소스Azure 구독을 일시 중단하여 문제를 완화할 수 있습니다.

파트너 관리 에이전트 기본 설정 전자 메일 주소가 up-to-date이므로 보안 연락처와 함께 알림을 받습니다.

보안 경고 알림 구독

역할에 따라 다양한 파트너 알림을 구독할 수 있습니다.

보안 경고는 고객의 Azure 구독에 가능한 비정상적인 활동이 표시되면 사용자에게 알립니다.

전자 메일로 경고 받기

  1. 파트너 센터에 로그인하고 알림(종)을 선택합니다.
  2. 내 기본 설정을 선택합니다.
  3. 아직 설정하지 않은 경우 기본 설정 전자 메일 주소를 설정합니다.
  4. 아직 설정하지 않은 경우 알림에 대한 기본 설정 언어를 설정합니다.
  5. 전자 메일 알림 기본 설정 옆에 있는 편집선택합니다.
  6. 작업 영역 열의 고객과 관련된 모든 확인란을 선택합니다. 구독을 취소하려면 고객 작업 영역에서 트랜잭션 섹션의 선택을 취소합니다.
  7. 저장을 선택합니다.

일부 고객의 Microsoft Azure 구독에서 가능한 보안 경고 활동 또는 오용이 감지되면 보안 경고를 보냅니다. 다음과 같은 세 가지 유형의 전자 메일이 있습니다.

  • 해결되지 않은 보안 경고의 일일 요약(다양한 경고 유형의 영향을 받는 파트너, 고객 및 구독 수)
  • 거의 실시간 보안 경고. 잠재적인 보안 문제가 있는 Azure 구독 목록을 보려면 사기 이벤트 가져오기를 참조하세요.
  • 거의 실시간 보안 권고 알림. 이러한 알림은 보안 경고가 있을 때 고객에게 전송된 알림에 대한 가시성을 제공합니다.

CSP(클라우드 솔루션 공급자) 직접 청구 파트너는 비정상적인 컴퓨팅 사용량, 암호화 마이닝, Azure Machine Learning 사용량 및 서비스 상태 권고 알림과 같은 활동에 대한 더 많은 경고를 볼 수 있습니다. CSP(클라우드 솔루션 공급자) 직접 청구 파트너는 비정상적인 컴퓨팅 사용량, 암호화 마이닝, Azure Machine Learning 사용량 및 서비스 상태 권고 알림과 같은 활동에 대한 더 많은 경고를 볼 수 있습니다.

웹후크를 통해 경고 가져오기

파트너는 리소스 변경 이벤트에 대한 경고를 받기 위해 웹후크 이벤트: azure-fraud-event-detected에 등록할 수 있습니다. 자세한 내용은 파트너 센터 웹후크 이벤트참조하세요.

보안 경고 대시보드를 통해 경고 보기 및 응답

CSP 파트너는 파트너 센터 보안 경고 대시보드 에 액세스하여 경고를 검색하고 응답할 수 있습니다. 자세한 내용은 파트너 센터 보안 경고 대시보드사용하여 보안 이벤트에 응답하는 방법을 참조하세요. CSP 파트너는 파트너 센터 보안 경고 대시보드 에 액세스하여 경고를 검색하고 응답할 수 있습니다. 자세한 내용은 파트너 센터 보안 경고 대시보드사용하여 보안 이벤트에 응답하는 방법을 참조하세요.

API를 통해 경고 세부 정보 가져오기

Microsoft Graph 보안 경고 API를 통해 경고 세부 정보를 가져올 수 있습니다.

새 Microsoft Graph 보안 경고 API 사용(베타)

이점: 2024년 5월부터 Microsoft Graph 보안 경고 API의 미리 보기 버전을 사용할 수 있습니다. 이 API는 Microsoft Entra ID, Teams 및 Outlook과 같은 다른 Microsoft 서비스 통합 API 게이트웨이 환경을 제공합니다.

온보딩 요구 사항: 온보딩된 CSP 파트너는 새 보안 경고 베타 API를 사용해야 합니다. 자세한 내용은 Microsoft Graph파트너 보안 경고 API를 사용합니다.

Microsoft Graph 보안 경고 API V1 릴리스는 곧 출시될 예정입니다.

사용 사례 API들
Microsoft Graph API에 온보딩하여 액세스 토큰 가져오기 사용자를 대신하여 접근 권한을 얻기
경고에 대한 가시성을 얻으려면 보안 경고를 나열합니다. List securityAlerts
선택한 쿼리 매개 변수에 따라 특정 경고에 대한 가시성을 얻으려면 보안 경고를 가져옵니다. partnerSecurityAlert 가져오기
참조 정보를 위해 파트너 센터 API를 호출하는 토큰 가져오기 보안 애플리케이션 모델 활성화
조직 프로필 정보 가져오기 조직 프로필 가져오기
ID로 고객 정보 가져오기 ID별 고객 가져오기
ID로 고객의 간접 재판매인 정보 가져오기 고객의 파트너 가져오기
ID로 고객의 구독 정보 가져오기 ID로 구독 얻기
경고 상태 업데이트 및 완화 시 해결 partnerSecurityAlert 업데이트하기

기존 FraudEvents API 지원

중요

레거시 사기 이벤트 API는 CY Q4 2024에서 더 이상 사용되지 않습니다. 자세한 내용은 월별 파트너 센터 보안 공지 사항을 확인하세요. CSP 파트너는 새로운 Microsoft Graph 보안 경고 API로 마이그레이션해야 하며, 이 API는 이제 미리 보기로 제공됩니다.

전환 기간 동안 CSP 파트너는 FraudEvents API를 계속 사용하여 X-NewEventsModel을 사용하여 추가 검색 신호를 가져올 수 있습니다. 이 모델을 사용하면 시스템에 추가되는 새로운 유형의 경고를 가져올 수 있습니다. 예를 들어 비정상적인 컴퓨팅 사용량, 암호화 마이닝, Azure Machine Learning 사용량 및 서비스 상태 권고 알림을 받을 수 있습니다. 위협도 진화하고 있으므로 제한된 알림으로 새로운 유형의 경고를 추가할 수 있습니다. 다른 경고 유형에 대해 API를 통해 특수 처리를 사용하는 경우 다음 API에서 변경 내용을 모니터링합니다.

보안 경고 알림을 받을 때 수행할 작업

다음 검사 목록은 보안 알림을 받을 때 수행할 작업에 대한 제안된 다음 단계를 제공합니다.

  • 전자 메일 알림이 유효한지 확인합니다. 보안 경고를 보낼 때 Microsoft Azure에서 no-reply@microsoft.com 이메일 주소로 전송됩니다. 파트너는 Microsoft로부터만 알림을 받습니다.
  • 알림을 받으면 알림 센터 포털에서 전자 메일 경고를 볼 수도 있습니다. 벨 아이콘을 선택하여 알림 센터 경고를 확인합니다.
  • Azure 구독을 검토합니다. 구독의 활동이 합법적이고 예상되는지 또는 무단 남용 또는 사기로 인해 활동이 발생할 수 있는지 여부를 확인합니다.
  • 보안 경고 대시보드 또는 API를 통해 찾은 내용을 알려주세요. API 사용에 대한 자세한 내용은 사기 행위 이벤트 상태 업데이트를 참고하세요. 다음 범주를 사용하여 찾은 내용을 설명합니다.

손상 위험을 낮추기 위해 수행할 수 있는 다른 단계는 무엇인가요?

Azure 구독이 손상된 경우 어떻게 해야 하나요?

계정 및 데이터를 보호하기 위한 즉각적인 조치를 취합니다. 다음은 영향과 전반적인 비즈니스 위험을 줄이기 위해 신속하게 대응하고 잠재적인 인시던트를 포함하기 위한 몇 가지 제안과 팁입니다.

클라우드 환경에서 손상된 ID 를 수정하는 것은 클라우드 기반 시스템의 전반적인 보안을 보장하는 데 중요합니다. 손상된 ID는 공격자에게 중요한 데이터 및 리소스에 대한 액세스를 제공할 수 있으므로 계정 및 데이터를 보호하기 위한 즉각적인 조치를 취해야 합니다.

악의적인 행위자가 제거된 후 손상된 리소스를 정리합니다. 영향을 받는 구독을 주의 깊게 관찰하여 더 이상 의심스러운 활동이 없는지 확인합니다. 또한 정기적으로 로그를 검토하고 추적을 감사하여 계정이 안전한지 확인하는 것이 좋습니다.

  • Azure 활동 로그에서 승인되지 않은 활동 (예: 청구 변경, 청구되지 않은 상업적 소비 항목에 대한 사용량 또는 구성)을 확인합니다.
  • 고객의 지출 예산에 대한 지출 변칙을 Azure 비용 관리에서 검토합니다.
  • 손상된 리소스를 사용하지 않도록 설정하거나 삭제합니다.
    • 위협 행위자 식별 및 퇴출: Microsoft와 Azure 보안 리소스를 사용하여 시스템 ID 손상에서 회복하는 데 도움을 받으십시오.
    • Azure 활동 로그에서 구독 수준 변경 내용을 확인합니다.
    • 권한 없는 사용자가 생성한 리소스의 할당을 취소하고 제거합니다. Azure 구독을 깔끔하게 유지하는 방법 | Azure 팁과 요령 (비디오) 보기
    • API(취소 Azure 자격)을 통해 또는 파트너 센터 포털을 통해 고객의 Azure 구독을 취소할 수 있습니다.
    • 즉시 Azure 지원 문의하고 인시던트 보고
    • 이벤트 후 스토리지 정리: 연결되지 않은 Azure 관리 디스크 및 비관리 디스크 찾기 및 삭제 - Azure 가상 머신

계정 손상 방지는 복구하는 것보다 쉽습니다. 따라서 보안 태세를 강화하는 것이 중요합니다.

  • 고객 Azure 구독의 할당량을 검토하고 요청을 제출하여 사용되지 않는 할당량을 줄입니다. 자세한 내용은 할당량 줄이기를 참조하세요.
  • 클라우드 솔루션 공급자의 보안 모범 사례를 검토하고 구현하십시오.
  • 고객과 협력하여 고객 보안 모범 사례를 배우고 구현합니다.
  • 클라우드용 Defender가 켜져 있는지 확인하세요. 이 서비스에는 무료 계층이 제공됩니다.
  • 클라우드용 Defender가 켜져 있는지 확인하세요(이 서비스에는 무료 요금제가 제공됩니다).

자세한 내용은 문서 지원을 참조하세요.

모니터링을 위한 추가 도구

  • Azure 포털에서 알림 설정
  • Azure 고객 지출 예산 설정

최종 고객을 준비하는 방법

Microsoft는 Azure 구독에 알림을 보내며, 이러한 알림은 최종 고객에게 전달됩니다. 최종 고객과 협력하여 그들이 적절하게 대응할 수 있고 환경 내에서 다양한 보안 문제에 대해 경고를 받을 수 있도록 지원합니다.

  • 작업 경고Azure Monitor 또는 Azure Cost Management를 사용하여 설정합니다.
  • Microsoft의 보안 및 기타 관련 문제에 대한 다른 알림을 받을 수 있도록 서비스 상태 경고를 설정합니다.
  • 조직의 테넌트 관리자(파트너가 관리하지 않는 경우)와 협력하여 테넌트에 보안 강화 조치를 적용합니다(다음 섹션 참조).

테넌트 보호를 위한 추가 정보

  • Azure 자산에 대한 운영 보안 모범 사례를 검토하고 구현하십시오.
  • 다단계 인증을 적용하여 신원 보안 태세를 강화합니다.
  • 위험이 높은 사용자 및 로그인에 대한 위험 관리 정책 및 경고를 구현합니다.Microsoft Entra ID Protection이란 무엇입니까?

사용자 또는 고객의 Azure 구독을 무단으로 사용하는 것으로 의심되는 경우 Microsoft가 다른 질문이나 문제를 신속하게 처리할 수 있도록 Microsoft Azure 지원에 참여하세요.

파트너 센터에 대한 구체적인 질문이 있는 경우 파트너 센터에서 지원 요청을 제출합니다. 자세한 내용은 파트너 센터에서 지원 받기.

활동 로그에서 보안 알림 확인

  1. 파트너 센터에 로그인하고 오른쪽 위 모서리에서 설정(기어) 아이콘을 선택한 다음, 계정 설정 작업 영역을 선택합니다.
  2. 왼쪽 패널에서 활동 로그로 이동합니다.
  3. 위쪽 필터에서 FromTo 날짜를 설정합니다.
  4. 작업 유형별 필터에서 감지된 Azure Fraud 이벤트를 선택합니다. 선택한 기간 동안 검색된 모든 보안 경고 이벤트를 볼 수 있어야 합니다.

파트너가 이전 Azure 보안 경고를 받는 이유는 무엇인가요?

Microsoft는 2021년 12월부터 Azure Fraud 경고를 보내고 있습니다. 그러나 과거에 경고 알림은 파트너가 알림을 수신하도록 옵트인해야 하는 옵트인 기본 설정만을 기반으로 했습니다. 이 동작을 변경했습니다. 이제 파트너는 열려 있는 모든 사기 행위 경고(이전 경고 포함)를 해결해야 합니다. 사용자와 고객의 보안 태세를 강화하려면 클라우드 솔루션 공급자 보안 모범 사례를 따르세요.

Microsoft는 지난 60일 이내에 해결되지 않은 사기 경고가 활성 상태인 경우 일일 사기 요약(영향을 받는 파트너, 고객 및 구독 수)을 보내고 있습니다. Microsoft는 지난 60일 이내에 해결되지 않은 사기 경고가 활성 상태인 경우 일일 사기 요약(영향을 받는 파트너, 고객 및 구독 수)을 보내고 있습니다.

모든 경고가 표시되지 않는 이유는 무엇인가요?

보안 경고 알림은 Azure에서 특정 비정상적인 작업의 패턴을 검색하는 것으로 제한됩니다. 보안 경고 알림은 검색되지 않으며 모든 비정상적인 동작을 검색하도록 보장되지 않습니다. 월별 Azure 지출 예산과 같이 고객의 Azure 구독에서 비정상적인 사용량을 감지하는 데 도움이 되는 다른 모니터링 방법을 사용하는 것이 중요합니다. 중요한 경고가 음성 오류인 경우 파트너 지원에 연락하여 다음 정보를 제공하세요.

  • 파트너 테넌트 ID
  • 고객 테넌트 ID
  • 구독 ID
  • 리소스 ID
  • 영향 시작 및 영향 종료 날짜

관련 콘텐츠

  • 보안 경고 API와 통합하고 웹후크를 등록합니다.