Wykrywanie alertów zabezpieczeń i reagowanie na nie
Odpowiednie role: Agent administracyjny
Dotyczy: Partner Center Bezpośredni rachunek i dostawcy pośredni
Możesz zasubskrybować nowy alert zabezpieczeń dotyczący wykrywania związanych z nadużyciami nieautoryzowanych stron i przejęciami kont. Ten alert zabezpieczeń jest jednym z wielu sposobów, na które firma Microsoft udostępnia dane potrzebne do zabezpieczenia dzierżaw klienta. Możesz zasubskrybować nowy alert zabezpieczeń dotyczący wykrywania związanych z nadużyciami nieautoryzowanych stron i przejęciami kont. Ten alert zabezpieczeń jest jednym z wielu sposobów, na które firma Microsoft udostępnia dane potrzebne do zabezpieczenia dzierżaw klienta.
Ważne
Jako partner w programie Dostawca rozwiązań w chmurze (CSP) odpowiadasz za użycie platformy Azure klientów, dlatego ważne jest, aby pamiętać o wszelkich nietypowych użyciach w subskrypcjach platformy Azure klienta. Użyj alertów zabezpieczeń platformy Microsoft Azure, aby wykryć wzorce fałszywych działań i nieprawidłowego użycia w zasobach platformy Azure, aby zmniejszyć ryzyko transakcji online. Alerty zabezpieczeń platformy Microsoft Azure nie wykrywają wszystkich typów fałszywych działań lub nieprawidłowego użycia, dlatego ważne jest, aby korzystać z dodatkowych metod monitorowania w celu wykrywania nietypowego użycia w subskrypcjach platformy Azure klienta. Aby uzyskać więcej informacji, zobacz Zarządzanie brakiem płatności, oszustwami lub nadużyciami oraz Zarządzanie kontami klientów.
Wymagane działanie: dzięki monitorowaniu i rozpoznawaniu sygnałów możesz podjąć natychmiastowe działania, aby określić, czy zachowanie jest uzasadnione, czy fałszywe. W razie potrzeby możesz wstrzymać zasoby Azure lub subskrypcje Azure, aby zminimalizować problem.
Upewnij się, że preferowany adres e-mail dla agentów administratora partnera jest up-to-date, aby byli powiadamiani wraz z kontaktami ds. bezpieczeństwa.
Subskrybowanie powiadomień o alertach zabezpieczeń
Możesz subskrybować różne powiadomienia partnerów na podstawie swojej roli.
Alerty zabezpieczeń powiadamiają o tym, kiedy subskrypcja platformy Azure klienta pokazuje możliwe nietypowe działania.
Uzyskiwanie alertów pocztą e-mail
- Zaloguj się do Centrum partnerskiego i wybierz Powiadomienia (dzwonek).
- Wybierz Moje preferencje.
- Ustaw preferowany adres e-mail, jeśli jeszcze go nie ustawiono.
- Ustaw preferowany język powiadomienia, jeśli jeszcze go nie ustawiono.
- Wybierz Edytuj obok Preferencji powiadomień e-mail.
- Zaznacz wszystkie pola odnoszące się do klientów w kolumnie Obszar roboczy . (Aby anulować subskrypcję, usuń zaznaczenie sekcji transakcyjnej w obszarze roboczym klienta).
- Wybierz Zapisz.
Wysyłamy alerty zabezpieczeń w przypadku wykrycia możliwych aktywności związanych z alertami zabezpieczeń lub nieprawidłowego użycia w niektórych subskrypcjach Microsoft Azure u klientów. Istnieją trzy typy wiadomości e-mail:
- Codzienne podsumowanie nierozwiązanych alertów bezpieczeństwa (liczba partnerów, klientów i subskrypcji dotkniętych różnymi typami alertów)
- Alerty zabezpieczeń niemal w czasie rzeczywistym. Aby uzyskać listę subskrypcji platformy Azure, które mają potencjalne problemy z zabezpieczeniami, zapoznaj się ze stroną Zdarzenia oszustwa.
- Powiadomienia z poradami dotyczącymi zabezpieczeń niemal w czasie rzeczywistym. Te powiadomienia zapewniają wgląd w powiadomienia wysyłane do klienta po wystąpieniu alertu zabezpieczeń.
partnerzy programu Cloud Solution Provider (CSP) z bezpośrednim rozliczeniem mogą zobaczyć więcej alertów dotyczących działań, na przykład: nietypowe użycie zasobów obliczeniowych, kopanie kryptowalut, użycie Azure Machine Learning i powiadomienia dotyczące kondycji usług. Partnerzy rozliczani bezpośrednio jako Dostawcy Rozwiązań w Chmurze (CSP) mogą zobaczyć więcej alertów dotyczących działań, na przykład: nietypowe użycie zasobów obliczeniowych, kopanie kryptowalut, użycie Azure Machine Learning i powiadomienia o kondycji usługi.
Otrzymuj alerty za pośrednictwem webhooka
Partnerzy mogą zarejestrować się do odbierania zdarzenia webhook: azure-fraud-event-detected w celu otrzymywania alertów o zmianach zasobów. Aby uzyskać więcej informacji, zobacz Zdarzenia elementu webhook w Centrum partnerskim.
Przeglądaj i reaguj na alerty zabezpieczeń na pulpicie nawigacyjnym
Partnerzy programu CSP mogą uzyskiwać dostęp do pulpitu nawigacyjnego alertów zabezpieczeń Centrum partnerskiego w celu wykrywania alertów i reagowania na nie. Aby uzyskać więcej informacji, zobacz Reagowanie na zdarzenia zabezpieczeń za pomocą pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego. Partnerzy programu CSP mogą uzyskiwać dostęp do pulpitu nawigacyjnego Centrum Partnerów Alerty zabezpieczeń w celu wykrywania alertów i reagowania na nie. Aby uzyskać więcej informacji, zobacz Reagowanie na zdarzenia zabezpieczeń za pomocą pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego.
Uzyskiwanie szczegółów alertu za pośrednictwem interfejsu API
Szczegółowe informacje o alertach można uzyskać za pośrednictwem interfejsu API alertów zabezpieczeń programu Microsoft Graph.
Korzystanie z nowego interfejsu API alertów zabezpieczeń programu Microsoft Graph (beta)
Korzyści: od maja 2024 r. dostępna jest wersja zapoznawcza interfejsu API alertów zabezpieczeń programu Microsoft Graph. Ta brama API zapewnia ujednolicone doświadczenie z bramą API w innych usługach firmy Microsoft, takich jak Microsoft Entra ID, Teams i Outlook.
wymagania dotyczące wdrażania: dołączeni partnerzy CSP są zobowiązani do korzystania z nowego interfejsu API alertów bezpieczeństwa w wersji beta. Aby uzyskać więcej informacji, zobacz Używanie interfejsu API alertów zabezpieczeń partnera w programie Microsoft Graph.
Wkrótce zostanie udostępniona wersja 1 interfejsu API alertów zabezpieczeń Microsoft Graph.
| Przypadek użycia | Interfejsy API |
|---|---|
| Dołączanie do interfejsu API programu Microsoft Graph w celu uzyskania tokenu dostępu | Uzyskaj dostęp w imieniu użytkownika |
| Wyświetlanie listy alertów zabezpieczeń w celu uzyskania wglądu w alerty | Wyświetl listę alertów bezpieczeństwa |
| Uzyskaj alerty zabezpieczeń, aby uzyskać wgląd w określony alert na podstawie wybranego parametru zapytania. | Uzyskaj partneraAlertZabezpieczeń |
| Uzyskanie tokenu do wywołania API Centrum partnerskiego w celu uzyskania informacji referencyjnych. | Włącz bezpieczny model aplikacji |
| Uzyskiwanie informacji o profilu organizacji | Uzyskaj profil organizacji |
| Uzyskiwanie informacji o kliencie według identyfikatora | Pobierz klienta według ID |
| Uzyskaj informacje o odsprzedawcach pośrednich klienta na podstawie identyfikatora | Uzyskaj partnerów klienta |
| Uzyskiwanie informacji o subskrypcji klienta według identyfikatora | Pobierz subskrypcję według identyfikatora |
| Aktualizuj stan alertu i rozwiąż, gdy problem zostanie złagodzony | Aktualizacja alertu bezpieczeństwa partnera |
Obsługa istniejącego interfejsu API FraudEvents
Ważne
Starszy interfejs API dla zdarzeń oszustwa zostanie wycofany w czwartym kwartale roku kalendarzowego 2024. Aby uzyskać więcej informacji, zapoznaj się z comiesięcznymi ogłoszeniami zabezpieczeń Centrum partnerskiego. Partnerzy programu CSP powinni przeprowadzić migrację do nowego interfejsu API alertów zabezpieczeń Microsoft Graph, który jest obecnie dostępny w wersji zapoznawczej.
W okresie przejściowym partnerzy CSP mogą nadal korzystać z interfejsu API FraudEvents, aby uzyskać dodatkowe sygnały wykrywania przy użyciu modelu X-NewEventsModel. Dzięki temu modelowi można uzyskać nowe typy alertów podczas dodawania ich do systemu. Możesz na przykład uzyskać nietypowe użycie zasobów obliczeniowych, wyszukiwanie kryptograficzne, użycie usługi Azure Machine Learning i powiadomienia z poradami dotyczącymi kondycji usługi. Nowe typy alertów można dodawać z ograniczonym powiadomieniem, ponieważ zagrożenia również ewoluują. Jeśli używasz specjalnej obsługi za pośrednictwem interfejsu API dla różnych typów alertów, monitoruj następujące interfejsy API pod kątem zmian:
- Pobierz zdarzenia oszustwa
- Aktualizacja statusu zdarzenia oszustwa
Co zrobić po otrzymaniu powiadomienia o alertach zabezpieczeń
Poniższa lista kontrolna zawiera sugerowane następne kroki, które należy wykonać po otrzymaniu powiadomienia o zabezpieczeniach.
- Upewnij się, że powiadomienie e-mail jest prawidłowe. Alerty bezpieczeństwa są wysyłane z Microsoft Azure z adresem e-mail:
no-reply@microsoft.com. Partnerzy otrzymują tylko powiadomienie od firmy Microsoft. - Po powiadomieniu możesz również zobaczyć alert e-mail w portalu Centrum akcji. Wybierz ikonę dzwonka, aby wyświetlić alerty Centrum akcji.
- Przejrzyj subskrypcje platformy Azure. Ustal, czy działanie w subskrypcji jest uzasadnione i oczekiwane, czy działanie może być spowodowane nieautoryzowanym nadużyciem lub oszustwem.
- Poinformuj nas o znalezionych elementach za pośrednictwem panelu Alertów Bezpieczeństwa lub z interfejsu API. Aby dowiedzieć się więcej na temat korzystania z interfejsu API, zobacz stronę Aktualizacja stanu zdarzenia oszustwa. Użyj następujących kategorii, aby opisać znalezione elementy:
- Uzasadnione — działanie jest oczekiwane lub sygnał fałszywie dodatni.
- Oszustwo — działanie jest spowodowane nieautoryzowanym nadużyciem lub oszustwem.
- Ignoruj — działanie jest starszym alertem i powinno być ignorowane. Aby uzyskać więcej informacji, zobacz Dlaczego partnerzy otrzymują starsze alerty zabezpieczeń?.
Jakie inne kroki można podjąć, aby zmniejszyć ryzyko naruszenia zabezpieczeń?
- Włącz uwierzytelnianie wieloskładnikowe (MFA) dla dzierżawców klientów i partnerów. Konta, które mają uprawnienia do zarządzania subskrypcjami platformy Azure klientów, muszą być zgodne z usługą MFA. Aby uzyskać więcej informacji, zobacz najlepsze praktyki bezpieczeństwa dostawców rozwiązań chmurowych i najlepsze praktyki bezpieczeństwa klientów.
- Skonfiguruj alerty do monitorowania uprawnień dostępu na podstawie ról (RBAC) platformy Azure w subskrypcjach platformy Azure klientów. Aby uzyskać więcej informacji, zobacz plan platformy Azure — zarządzanie subskrypcjami i zasobami.
- Przeprowadź inspekcję zmian uprawnień w subskrypcjach platformy Azure klientów. Przejrzyj dziennik aktywności usługi Azure Monitor pod kątem działań związanych z subskrypcją platformy Azure.
- Sprawdź anomalie wydatków w ramach budżetu w Azure Cost Management.
- Edukować i współpracować z klientami, aby zmniejszyć niewykorzystany przydział i zapobiec uszkodzeniom w ramach dozwolonej subskrypcji Azure: Omówienie limitów Azure.
- Przesyłanie wniosku o zarządzanie kwotą Azure: Jak utworzyć wniosek o pomoc techniczną Azure — wsparcie Azure
- Przejrzyj bieżące użycie limitu przydziału: Azure Quota REST API Reference
- Jeśli używasz krytycznych obciążeń wymagających dużej pojemności, rozważ Rezerwację pojemności na żądanie lub zarezerwowane wystąpienia maszyn wirtualnych na platformie Azure.
Co należy zrobić, jeśli naruszono bezpieczeństwo subskrypcji platformy Azure?
Podejmij natychmiastowe działania w celu ochrony konta i danych. Poniżej przedstawiono kilka sugestii i wskazówek, jak szybko reagować i opanować potencjalny incydent, aby zmniejszyć jego wpływ i ogólne ryzyko biznesowe.
Zarządzanie kompromitowanymi tożsamościami w środowisku chmurowym ma kluczowe znaczenie dla zapewnienia bezpieczeństwa całych systemów chmurowych. Naruszone tożsamości mogą zapewnić osobom atakującym dostęp do poufnych danych i zasobów, co sprawia, że niezbędne jest podjęcie natychmiastowych działań w celu ochrony konta i danych.
Natychmiast zmień dane uwierzytelniające dla:
- Administratorzy dzierżawy i kontrola dostępu RBAC w subskrypcjach Azure. Co to jest kontrola dostępu oparta na rolach (Azure RBAC)?
- Postępuj zgodnie ze wskazówkami dotyczącymi haseł. Zalecenia dotyczące zasad haseł
- Upewnij się, że wszyscy administratorzy dzierżawy i właściciele RBAC mają zarejestrowane i wymuszone MFA.
Przejrzyj i zweryfikuj wszystkie e-maile dotyczące odzyskiwania hasła użytkowników administratorów oraz numery telefonów w Microsoft Entra ID. Zaktualizuj je w razie potrzeby. Zalecenia dotyczące zasad haseł
Sprawdź, którzy użytkownicy, dzierżawcy i subskrypcje są narażeni w portalu Microsoft Azure.
- Zbadaj ryzyko, przechodząc do Microsoft Entra ID, aby przejrzeć raporty o ryzyku usługi Identity Protection. Aby uzyskać więcej informacji, zobacz Badanie ryzyka usługi Microsoft Entra ID Protection
- Wymagania licencyjne dotyczące Identity Protection
- Korygowanie zagrożeń i odblokowywanie użytkowników
- Doświadczenia użytkowników z Ochroną tożsamości Microsoft Entra
Przejrzyj dzienniki logowania Microsoft Entra w dzierżawie klienta, aby zobaczyć nietypowe wzorce logowania w czasie zbliżonym do momentu wyzwolenia alertu zabezpieczeń.
Po wyrzuceniu złośliwych podmiotów, wyczyść naruszone zasoby. Uważnie przyjrzyj się objętej subskrypcji, aby upewnić się, że nie ma dalszych podejrzanych działań. Dobrym pomysłem jest również regularne przeglądanie dzienników i ścieżek audytu, aby zapewnić bezpieczeństwo swojego konta.
- Sprawdź wszelkie nieautoryzowane działania w Dzienniku aktywności platformy Azure, na przykład zmiany w naszym rozliczeniu, użyciu dla nieopłaconych pozycji dotyczących komercyjnego zużycia lub konfiguracji.
- Przejrzyj anomalie wydatków względem budżetu wydatków klienta w usłudze Azure Cost Management.
- Wyłącz lub usuń wszystkie naruszone zasoby:
- Identyfikuj i usuń aktora zagrożeń:
Użyj zasobów zabezpieczeń Microsoft i Azure, aby pomóc w odzyskiwaniu po kompromitacji tożsamości systemowej . - Sprawdź Dziennik aktywności Azure pod kątem wszelkich zmian na poziomie subskrypcji.
- Zwolnij i usuń wszystkie zasoby stworzone przez nieuprawnioną osobę. Obejrzyj „Jak utrzymać porządek w swojej subskrypcji Azure | Porady i wskazówki dotyczące Azure” (wideo)
- Subskrypcje Azure klientów można anulować za pośrednictwem interfejsu API (Anulowanie uprawnień Azure) lub portalu Centrum partnerskiego.
- Skontaktuj się z pomocą techniczną platformy Azure natychmiast i zgłoś incydent
- Czyszczenie magazynu po zakończeniu wydarzenia: znajdowanie i usuwanie niedołączonych dysków zarządzanych i niezarządzanych platformy Azure w maszynach wirtualnych Azure.
- Identyfikuj i usuń aktora zagrożeń:
Zapobieganie naruszeniom zabezpieczeń konta jest łatwiejsze niż odzyskiwanie po nim. Dlatego ważne jest, aby wzmocnić swoją pozycję bezpieczeństwa.
- Przejrzyj limit przydziału dla subskrypcji platformy Azure klientów i prześlij żądanie zmniejszenia nieużywanego limitu przydziału. Aby uzyskać więcej informacji, zobacz Zmniejsz limit.
- Przejrzyj i zaimplementuj najlepsze praktyki zabezpieczeń dostawcy rozwiązań w chmurze.
- Współpracuj z klientami, aby poznać i wdrożyć najlepsze praktyki dotyczące zabezpieczeń klientów.
- Upewnij się, że Defender dla Chmury jest włączony (dostępna jest bezpłatna warstwa tej usługi).
- Upewnij się, że Defender dla Chmury jest włączony (dostępna jest warstwa bezpłatna dla tej usługi).
Aby uzyskać więcej informacji, zobacz artykuł wsparcia.
Więcej narzędzi do monitorowania
- Ustaw alerty z portalu Azure
- Ustaw budżet wydatków na platformę Azure dla klientów
Jak przygotować klientów końcowych
Firma Microsoft wysyła powiadomienia do subskrypcji platformy Azure, które trafiają do klientów końcowych. Skontaktuj się z klientem końcowym, aby upewnić się, że mogą działać odpowiednio i są powiadamiani o różnych problemach z zabezpieczeniami w swoim środowisku:
- Skonfiguruj alerty użycia za pomocą usługi Azure Monitor lub usługi Azure Cost Management.
- Skonfiguruj alerty kondycji usług, aby być świadomym innych powiadomień od Microsoft dotyczących zabezpieczeń i innych powiązanych kwestii.
- Skontaktuj się z administratorem dzierżawy organizacji (jeśli nie jest zarządzany przez partnera), aby wymusić zwiększone środki zabezpieczeń w dzierżawie (zobacz poniższą sekcję).
Dodatkowe informacje dotyczące ochrony najemcy
- Przejrzyj i zaimplementuj najlepsze praktyki dotyczące zabezpieczeń operacyjnych dla zasobów na platformie Azure.
- Wymuś uwierzytelnianie wieloskładnikowe w celu wzmocnienia postawy bezpieczeństwa tożsamości.
- Wdrażaj zasady zarządzania ryzykiem i alerty dla użytkowników o wysokim ryzyku oraz dla procesów logowania: Czym jest Ochrona tożsamości Microsoft Entra?.
Jeśli podejrzewasz, że doszło do nieautoryzowanego użycia subskrypcji platformy Azure twojej lub twojego klienta, skontaktuj się z pomocą techniczną platformy Microsoft Azure, aby firma Microsoft mogła szybciej rozwiązywać inne pytania lub wątpliwości.
Jeśli masz konkretne pytania dotyczące Centrum Partnerskiego, złóż zgłoszenie o pomoc w Centrum Partnerskim. Aby uzyskać więcej informacji: Uzyskaj pomoc techniczną w Centrum partnerskim.
Sprawdzanie powiadomień zabezpieczeń w obszarze Dzienniki aktywności
- Zaloguj się do Partner Center i wybierz ikonę ustawień (koła zębatego) w prawym górnym rogu, a następnie wybierz przestrzeń roboczą Ustawienia konta.
- Przejdź do Dzienniki aktywności na panelu po lewej stronie.
- Ustaw daty Od i Do w górnym filtrze.
- W sekcji Filtruj według rodzaju operacji wybierz Wykryto zdarzenie oszustwa w usłudze Azure. Powinieneś być w stanie zobaczyć wszystkie alerty bezpieczeństwa wykryte w wybranym okresie.
Dlaczego partnerzy otrzymują starsze alerty zabezpieczeń platformy Azure?
Firma Microsoft wysyła alerty dotyczące oszustw platformy Azure od grudnia 2021 r. Jednak w przeszłości powiadomienie o alertach było oparte tylko na preferencjach zgody, gdzie partnerzy musieli wyrazić zgodę na otrzymywanie powiadomień. Zmieniliśmy to zachowanie. Partnerzy powinni teraz rozwiązać wszystkie otwarte alerty dotyczące oszustw (w tym stare alerty). Aby zapewnić bezpieczeństwo Twoje i Twoich klientów, postępuj zgodnie z najlepszymi praktykami dotyczącymi zabezpieczeń Dostawcy Rozwiązań Chmurowych.
Firma Microsoft wysyła codzienne podsumowanie oszustw (jest to liczba partnerów, klientów i subskrypcji), jeśli w ciągu ostatnich 60 dni występuje aktywny nierozwiązany alert o oszustwie. Firma Microsoft wysyła codzienne podsumowanie oszustw (jest to liczba partnerów, klientów i subskrypcji), jeśli w ciągu ostatnich 60 dni występuje aktywny nierozwiązany alert o oszustwie.
Dlaczego nie widzę wszystkich alertów?
Powiadomienia o alertach zabezpieczeń są ograniczone do wykrywania wzorców niektórych nietypowych akcji na platformie Azure. Powiadomienia o alertach zabezpieczeń nie wykrywają i nie mają gwarancji wykrywania wszystkich nietypowych zachowań. Ważne jest, aby korzystać z innych metod monitorowania, aby skuteczniej wykrywać nietypowe użycie w subskrypcjach platformy Azure klienta, takich jak miesięczne budżety wydatków na Azure. Jeśli otrzymasz alert, który jest istotny i prawdopodobnie pomyłkowo oznaczony jako fałszywie ujemny, skontaktuj się z Wsparciem Partnerów i podaj następujące informacje:
- Identyfikator dzierżawy partnera
- Identyfikator dzierżawcy klienta
- Identyfikator subskrypcji
- Identyfikator zasobu
- Daty rozpoczęcia wpływu i zakończenia wpływu
Powiązana zawartość
- Zintegruj się z API alertów zabezpieczeń i zarejestruj webhook.