Beveiligingswaarschuwingen detecteren en erop reageren
Juiste rollen: Beheerdersagent
Van toepassing op: Directe factuur van partnercentrum en indirecte providers
U kunt zich abonneren op een nieuwe beveiligingswaarschuwing voor detecties met betrekking tot misbruik door onbevoegden en accountovernames. Deze beveiligingswaarschuwing is een van de vele manieren waarop Microsoft de gegevens biedt die u nodig hebt om de tenants van uw klant te beveiligen. U kunt zich abonneren op een nieuwe beveiligingswaarschuwing voor detecties met betrekking tot misbruik door onbevoegden en accountovernames. Deze beveiligingswaarschuwing is een van de vele manieren waarop Microsoft de gegevens biedt die u nodig hebt om de tenants van uw klant te beveiligen.
Belangrijk
Als partner in het CSP-programma (Cloud Solution Provider) bent u verantwoordelijk voor het Azure-verbruik van uw klanten. Het is dus belangrijk dat u op de hoogte bent van afwijkend gebruik in de Azure-abonnementen van uw klant. Gebruik Beveiligingswaarschuwingen van Microsoft Azure om patronen van frauduleuze activiteiten en misbruik in Azure-resources te detecteren om uw blootstelling aan onlinetransactierisico's te verminderen. Beveiligingswaarschuwingen van Microsoft Azure detecteren niet alle soorten frauduleuze activiteiten of misbruik, dus het is essentieel dat u extra bewakingsmethoden gebruikt om afwijkend gebruik in de Azure-abonnementen van uw klant te detecteren. Zie Het beheren van niet-betaling, fraude of misbruik en Het beheren van klantaccountsvoor meer informatie.
Actie vereist: Met bewaking en signaalbewustzijn kunt u onmiddellijk actie ondernemen om te bepalen of het gedrag legitiem of frauduleus is. Indien nodig kunt u de betrokken Azure-resources of Azure-abonnementen onderbreken om een probleem te verhelpen.
Zorg ervoor dat het voorkeurs-e-mailadres voor uw partnerbeheerdersagenten is up-to-date, zodat ze samen met de beveiligingscontactpersonen op de hoogte worden gesteld.
Abonneren op beveiligingswaarschuwingen
U kunt zich abonneren op verschillende partnermeldingen op basis van uw rol.
Beveiligingswaarschuwingen melden u wanneer het Azure-abonnement van uw klant afwijkende activiteiten weergeeft.
Waarschuwingen per e-mail ontvangen
- Log in bij het Partnercentrum en selecteer Meldingen (bel).
- Selecteer Mijn voorkeuren.
- Stel een voorkeurs-e-mailadres in als u er nog geen hebt ingesteld.
- Stel de voorkeurstaal voor de melding in als u deze nog niet hebt ingesteld.
- Selecteer Bewerken naast voorkeuren voor e-mailmeldingen.
- Vink alle selectievakjes aan met betrekking tot Klanten in de Werkruimte-kolom. (Als u zich wilt afmelden, schakelt u de selectie van de transactionele sectie onder de werkruimte van de klant uit.)
- Selecteer Opslaan.
We verzenden beveiligingswaarschuwingen wanneer we mogelijke beveiligingswaarschuwingen detecteren of misbruiken in een aantal Microsoft Azure-abonnementen van uw klanten. Er zijn drie typen e-mailberichten:
- Dagelijks overzicht van niet-opgeloste beveiligingswaarschuwingen (aantal partners, klanten en abonnementen dat wordt beïnvloed door verschillende waarschuwingstypen)
- Bijna realtime beveiligingswaarschuwingen. Voor een lijst met Azure-abonnementen met mogelijke beveiligingsproblemen, zie Fraudegebeurtenissen weergeven.
- Meldingen over beveiligingsadvies in bijna realtime. Deze meldingen bieden inzicht in de meldingen die naar de klant worden verzonden wanneer er een beveiligingswaarschuwing is.
Partners voor directe facturering van Cloud Solution Provider (CSP) kunnen meer waarschuwingen zien voor activiteiten, bijvoorbeeld: afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en meldingen over servicestatus. Partners voor directe facturering van Cloud Solution Provider (CSP) kunnen meer waarschuwingen zien voor activiteiten, bijvoorbeeld: afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en meldingen over servicestatus.
Waarschuwingen ontvangen via een webhook
Partners kunnen zich registreren voor een webhook event: azure-fraud-event-detected om waarschuwingen te ontvangen voor resourcewijzigingsevenementen. Zie Partnercentrum-webhook-gebeurtenissenvoor meer informatie.
Waarschuwingen bekijken en erop reageren via het dashboard Beveiligingswaarschuwingen
CSP-partners hebben toegang tot het Partner Center Beveiligingswaarschuwingsdashboard om waarschuwingen te detecteren en erop te reageren. Zie Reageren op beveiligingsevenementen met het dashboard Beveiligingswaarschuwingen van Partner Centervoor meer informatie. CSP-partners hebben toegang tot het Partner Center Beveiligingswaarschuwingen-dashboard om waarschuwingen te detecteren en erop te reageren. Zie Reageren op beveiligingsevenementen met het dashboard Beveiligingswaarschuwingen van Partner Centervoor meer informatie.
Waarschuwingsgegevens ophalen via API
U kunt waarschuwingsgegevens ophalen via de Microsoft Graph Security Alerts-API.
De nieuwe Microsoft Graph Security Alerts-API (bèta) gebruiken
Voordelen: vanaf mei 2024 is de preview-versie van de Microsoft Graph Security Alerts-API beschikbaar. Deze API biedt een uniforme API-gateway-ervaring in andere Microsoft-services zoals Microsoft Entra ID, Teams en Outlook.
Vereisten voor onboarding: Onboarded CSP-partners zijn vereist voor het gebruik van de nieuwe bèta-API voor beveiligingswaarschuwingen. Voor meer informatie raadpleegt u Gebruik de API voor beveiligingswaarschuwingen van partners in Microsoft Graph.
De MICROSOFT Graph Security Alerts API V1-release is binnenkort beschikbaar.
| Gebruiksscenario | API's |
|---|---|
| Onboarden bij Microsoft Graph API om toegangstoken op te halen | Toegang verkrijgen namens een gebruiker |
| Beveiligingswaarschuwingen weergeven om inzicht te krijgen in de waarschuwingen | Beveiligingswaarschuwingen weergeven |
| Beveiligingswaarschuwingen ophalen om inzicht te krijgen in een specifieke waarschuwing op basis van de geselecteerde queryparameter. | PartnerSecurityAlert ophalen |
| Token ophalen om de Partner Center-API's aan te roepen voor referentie-informatie | Beveiligd toepassingsmodel inschakelen |
| Uw organisatieprofielgegevens ophalen | Een organisatieprofiel verkrijgen |
| Haal uw Klantgegevens op via ID | Een klant ophalen door ID |
| De gegevens van indirecte resellers van een klant ophalen op basis van een ID | Haal partners van een klant op |
| Abonnementsgegevens van de klant ophalen op id | Een abonnement ophalen met ID |
| Waarschuwingsstatus bijwerken en oplossen wanneer dit is verholpen | Update partnerSecurityAlert |
Ondersteuning voor de bestaande FraudEvents-API
Belangrijk
De API voor verouderde fraude-gebeurtenissen is afgeschaft in CY Q4 2024. Kijk voor meer informatie naar maandelijkse aankondigingen voor partnercentrumbeveiliging. CSP partners moeten migreren naar de nieuwe Microsoft Graph Security Alerts API, die nu beschikbaar is in preview.
Tijdens de overgangsperiode kunnen CSP-partners de FraudEvents-API blijven gebruiken om extra detectiesignalen op te halen met behulp van X-NewEventsModel. Met dit model kunt u nieuwe typen waarschuwingen krijgen wanneer deze worden toegevoegd aan het systeem. U kunt bijvoorbeeld afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en adviesmeldingen over de servicestatus krijgen. Nieuwe typen waarschuwingen kunnen met beperkte kennisgeving worden toegevoegd, omdat bedreigingen ook worden ontwikkeld. Als u speciale verwerking via de API gebruikt voor verschillende waarschuwingstypen, controleert u deze API's op wijzigingen:
Wat u moet doen wanneer u een melding over een beveiligingswaarschuwing ontvangt
De volgende controlelijst bevat voorgestelde volgende stappen voor wat u moet doen wanneer u een beveiligingsmelding ontvangt.
- Controleer of de e-mailmelding geldig is. nl-NL: Wanneer we beveiligingsmeldingen verzenden, worden ze verzonden vanuit Microsoft Azure, met het e-mailadres:
no-reply@microsoft.com. Partners ontvangen alleen meldingen van Microsoft. - Wanneer u een melding ontvangt, kunt u de e-mailwaarschuwing ook zien in de portal van het Actiecentrum. Selecteer het belpictogram om de waarschuwingen van het Actiecentrum weer te geven.
- Bekijk de Azure-abonnementen. Bepaal of de activiteit in het abonnement legitiem en verwacht is, of dat de activiteit kan worden veroorzaakt door onbevoegd misbruik of fraude.
- Laat ons weten wat u hebt gevonden via het dashboard Beveiligingswaarschuwingen of via de API. Voor meer informatie over het gebruik van de API, zie Fraude gebeurtenisstatus bijwerken. Gebruik de volgende categorieën om te beschrijven wat u hebt gevonden:
- Legitiem : de activiteit wordt verwacht of een fout-positief signaal.
- Fraude : de activiteit wordt veroorzaakt door onbevoegd misbruik of fraude.
- Negeren : de activiteit is een oudere waarschuwing en moet worden genegeerd. Zie Waarom ontvangen partners oudere beveiligingswaarschuwingen?.
Welke andere stappen kunt u ondernemen om het risico op inbreuk te verlagen?
- Meervoudige verificatie (MFA) inschakelen voor uw klant- en partnertenants. Accounts met machtigingen voor het beheren van Azure-abonnementen van klanten moeten MFA-compatibel zijn. Zie best practices voor cloud solution provider-beveiliging en best practices voor klantbeveiligingvoor meer informatie.
- Stel waarschuwingen in om toegangsmachtigingen op basis van rollen (RBAC) van Azure te bewaken voor azure-abonnementen van klanten. Zie Azure-abonnement - Abonnementen en resources beherenvoor meer informatie.
- Controleer toestemmingwijzigingen in de Azure-abonnementen van uw klanten. Bekijk het activiteitlogboek van Azure Monitor voor activiteiten met betrekking tot een Azure-abonnement.
- Bekijk bestedingsafwijkingen ten opzichte van uw uitgavenbudget in Azure cost management.
- Informeer en werk samen met de klanten om het ongebruikte quotum te verminderen en zo te voorkomen dat er schade optreedt binnen het Azure-abonnement: Quotumoverzicht - Azure Quota's.
- Aanvraag indienen voor het beheren van Azure-quotum: een ondersteuningsaanvraag voor Azure maken - Azure-ondersteunbaarheid
- Bekijk het huidige quotagebruik: Azure Quota REST API Referentie
- Als u kritieke workloads uitvoert die een hoge capaciteit vereisen, overweeg dan het gebruik van capaciteitsreservering op aanvraag of Azure gereserveerde virtuele machine-instanties.
Wat moet u doen als een Azure-abonnement is aangetast?
Neem onmiddellijk actie om uw account en gegevens te beveiligen. Hier volgen enkele suggesties en tips om snel te reageren en een potentieel incident onder controle te houden, zodat de impact en het totale bedrijfsrisico worden verminderd.
Het herstellen van gecompromitteerde identiteiten in een cloudomgeving is van cruciaal belang voor de algehele beveiliging van cloudsystemen. Gecompromitteerde identiteiten kunnen aanvallers toegang bieden tot gevoelige gegevens en resources, waardoor het essentieel is om onmiddellijk actie te ondernemen om het account en de gegevens te beveiligen.
Inloggegevens onmiddellijk wijzigen voor:
- Tenantbeheerders en RBAC-toegang op Azure-abonnementen Wat is Azure role-based access control (Azure RBAC)?
- Volg de wachtwoordrichtlijnen. Aanbevelingen voor wachtwoordbeleid
- Zorg ervoor dat alle beheerders en RBAC-eigenaren MFA geregistreerd en afgedwongen hebben.
Controleer en verifieer alle e-mailadressen en telefoonnummers voor wachtwoordherstel van beheerders binnen Microsoft Entra-id. Werk ze indien nodig bij. Aanbevelingen voor wachtwoordbeleid
Controleer welke gebruikers, tenants en abonnementen risico lopen binnen de Azure portal.
- Onderzoek het risico door naar Microsoft Entra ID te gaan om de risicorapporten van Identity Protection te bekijken. Voor meer informatie, zie Onderzoek risico's Microsoft Entra ID Protection.
- Licentievereisten voor Identity Protection
- Risico's herstellen en gebruikers deblokkeren
- Gebruikerservaringen met Microsoft Entra ID Protection
Bekijk de aanmeldingslogboeken van Microsoft Entra op de tenant van de klant om ongebruikelijke aanmeldingspatronen te zien rond het moment waarop de beveiligingswaarschuwing wordt geactiveerd.
Nadat kwaadwillende actoren zijn verwijderd, schoont u de aangetaste resources op. Houd het betreffende abonnement in de gaten om ervoor te zorgen dat er geen verdere verdachte activiteiten zijn. Het is ook een goed idee om regelmatig uw logboeken en audittrails te controleren om ervoor te zorgen dat uw account veilig is.
- Controleer op niet-geautoriseerde activiteiten in het Azure-activiteitenlogboek, bijvoorbeeld wijzigingen in onze facturering, verbruik voor niet-gefactureerde commerciële verbruiksregelitems of configuraties.
- Bekijk bestedingsafwijkingen ten opzichte van het bestedingsbudget van de klant in Azure Cost Management.
- Schakel gecompromitteerde bronnen uit of verwijder deze:
- Identificeer en verwijder de bedreigingsacteur: gebruik Microsoft- en Azure-beveiligingsresources om te helpen herstellen van systemische identiteitscompromittatie.
- Controleer het Azure-activiteitenlogboek voor eventuele wijzigingen op abonnementsniveau.
- Maak de toewijzing van resources ongedaan en verwijder resources die zijn gemaakt door een ongeautoriseerde partij. Bekijk de video Hoe u uw Azure-abonnement schoon kunt houden | Azure Tips en Trucs.
- U kunt de Azure-abonnementen van de klanten via de API (Annuleer een Azure-rechten) of via de Partner Center-portal annuleren.
- Neem onmiddellijk contact op met ondersteuning voor Azure en meld het incident
- Opslag opschonen na het evenement: niet-gekoppelde beheerde en niet-beheerde Azure-schijven zoeken en verwijderen - Azure Virtual Machines
Het voorkomen van inbreuk op accounts is eenvoudiger dan het herstellen ervan. Daarom is het belangrijk om uw beveiligingspostuur te versterken.
- Controleer het quotum voor de Azure-abonnementen van klanten en dien de aanvraag in om het ongebruikte quotum te verminderen. Zie Quotum beperken voor meer informatie.
- Bekijk en implementeer de best practices voor beveiliging van cloudoplossingsproviders.
- Werk samen met uw klanten om de best practices voor klantbeveiliging te leren en implementeren.
- Zorg ervoor dat Defender voor Cloud is ingeschakeld (er is een gratis niveau beschikbaar voor deze service).
- Zorg ervoor dat Defender voor Cloud staat ingeschakeld (er is een gratis versie beschikbaar voor deze service).
Voor meer informatie, zie het artikel ondersteuning.
Meer hulpprogramma's voor bewaking
- Waarschuwingen instellen vanuit Azure Portal
- Een Azure-uitgavenbegroting instellen voor uw klanten
Uw eindklanten voorbereiden
Microsoft verzendt meldingen naar Azure-abonnementen, die naar uw eindklanten gaan. Werk samen met uw eindklant om ervoor te zorgen dat ze op de juiste wijze kunnen handelen en worden gewaarschuwd voor verschillende beveiligingsproblemen in hun omgeving:
- Stel gebruikswaarschuwingen in met Azure Monitor of Azure Cost Management.
- Stel Service Health-waarschuwingen in om op de hoogte te blijven van andere meldingen van Microsoft over beveiligings- en gerelateerde problemen.
- Werk samen met de tenantbeheerder van uw organisatie (als deze niet wordt beheerd door de partner) om verhoogde beveiligingsmaatregelen voor uw tenant af te dwingen (zie de volgende sectie).
Aanvullende informatie voor het beveiligen van uw tenant
- Controleer en implementeer best practices voor operationele beveiliging van uw Azure-assets.
- Multifactor Authenticatie afdwingen om uw identiteitsbeveiligingspositie te versterken.
- Implementeer risicobeleid en waarschuwingen voor hoogrisicogebruikers en aanmeldpogingen:Wat is Microsoft Entra ID Protection?.
Als u vermoedt dat er niet-geautoriseerd gebruik van uw of het Azure-abonnement van uw klant plaatsvindt, neemt u contact op met Microsoft Azure-ondersteuning, zodat Microsoft kan helpen bij het versnellen van andere vragen of problemen.
Als u specifieke vragen hebt met betrekking tot het Partnercentrum, dient u in het Partnercentrum een ondersteuningsaanvraag in. Voor meer informatie: Ondersteuning krijgen in Partner Center.
Beveiligingsmeldingen controleren onder Activiteitenlogboeken
- Meld je aan bij Partner Center en selecteer het instellingenpictogram (tandwiel) in de rechterbovenhoek, en selecteer vervolgens de werkruimte Accountinstellingen.
- Navigeer naar activiteitenlogboeken in het linkerdeelvenster.
- Stel de van en naar datums in het bovenste filter in.
- In Filter op bewerkingstype, selecteer Azure Fraud Event Detected. U moet alle beveiligingswaarschuwingen kunnen zien die zijn gedetecteerd voor de geselecteerde periode.
Waarom ontvangen partners oudere Azure-beveiligingswaarschuwingen?
Microsoft verzendt sinds december 2021 waarschuwingen voor Azure Fraude. In het verleden was waarschuwingsmelding echter alleen gebaseerd op opt-in-voorkeur, waarbij partners zich moesten aanmelden om kennisgeving te ontvangen. We hebben dit gedrag gewijzigd. Partners moeten nu alle fraudewaarschuwingen (inclusief oude waarschuwingen) die geopend zijn, oplossen. Volg de best practices voor beveiliging van de Cloud Solution Provider om de beveiligingspositie van uzelf en uw klanten te verbeteren.
Microsoft verzendt het dagelijkse fraudeoverzicht (het is het aantal partners, klanten en abonnementen dat wordt beïnvloed) als er een actieve, onopgeloste fraudewaarschuwing binnen de afgelopen 60 dagen is. Microsoft verzendt het dagelijkse fraudeoverzicht (het is het aantal partners, klanten en abonnementen dat wordt beïnvloed) als er een actieve, onopgeloste fraudewaarschuwing binnen de afgelopen 60 dagen is.
Waarom zie ik niet alle waarschuwingen?
Meldingen over beveiligingswaarschuwingen zijn beperkt tot het detecteren van patronen van bepaalde afwijkende acties in Azure. Meldingen van beveiligingswaarschuwingen detecteren niet en garanderen ook niet de detectie van alle afwijkende gedragingen. Het is van cruciaal belang dat u andere bewakingsmethoden gebruikt om afwijkend gebruik te detecteren in de Azure-abonnementen van uw klant, zoals maandelijkse Azure-uitgavenbudgetten. Als u een waarschuwing ontvangt die significant is en een vals negatief is, neemt u contact op met Partnerondersteuning en geeft u de volgende informatie op:
- Tenant-id van partner
- Tenant-id van de klant
- Abonnements-id
- Resource-ID
- Gevolgen voor begin- en einddatums
Gerelateerde inhoud
- Integreer met de Security Alerts API en registreer een webhook.