Udostępnij za pośrednictwem

Odpowiadaj na zdarzenia związane z bezpieczeństwem za pomocą pulpitu nawigacyjnego z alertami bezpieczeństwa

  • Artykuł

Odpowiednie role: Agent administracyjny

Dotyczy: partnerów direct-bill w Partner Center oraz dostawców pośrednich

Pulpit Alerty zabezpieczeń w Centrum partnerskim pomaga szybko reagować na zagrożenia związane z zabezpieczeniami, oszustwa i inne zdarzenia występujące w Centrum partnerskim lub w dzierżawionym zasobie klienta.

Interfejsy API

Jeśli masz wiele dzierżaw firmy Microsoft Entra w Centrum partnerskim, możesz użyć następujących interfejsów API, aby uzyskać i zaktualizować alerty zamiast korzystać z pulpitu nawigacyjnego Security Alerts.

Wymagania wstępne

Aby korzystać z pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego, konto użytkownika musi mieć przypisaną rolę agenta administratora.

Znaczenie terminowej odpowiedzi na alerty

Po utworzeniu alertu na pulpicie nawigacyjnym ważne jest, aby jak najszybciej sklasyfikować i wyeliminować zdarzenie, które spowodowało alert. Jako zasada przewodnia zalecamy reagowanie na alerty w ciągu jednej godziny. W przypadku alertów typu 'Oszustwo', im dłużej zajmuje odpowiedź i złagodzenie skutków incydentu, który spowodował alert, tym większy potencjalny wpływ finansowy.

Otwieranie pulpitu nawigacyjnego

Aby otworzyć panel Alerty zabezpieczeń Centrum partnerskiego:

  1. Zaloguj się do Centrum partnerskiego jako użytkownik mający rolę agenta administracyjnego.
  2. Wybierz obszar roboczy Analityka.
  3. W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Alerty.

Możesz również użyć tego linku , aby przejść bezpośrednio do pulpitu nawigacyjnego.

Wyświetlanie alertów

Na pulpicie nawigacyjnym są wyświetlane informacje o następujących kategoriach alertów.

Zrzut ekranu przedstawiający pulpit nawigacyjny Centrum Partnerskiego - Alerty Zabezpieczeń, w tym średni czas odpowiedzi, nowe zdarzenia w tym tygodniu, oraz zdarzenia rozwiązane i nierozwiązane.

  • Średni czas: średni czas reagowania na alerty i rozwiązywania ich w ciągu ostatnich 30 dni.
  • Nowe zdarzenia w tym tygodniu: liczba nowych alertów z ostatnich siedmiu dni.
  • Rozwiązano: liczba alertów, które zostały rozwiązane z określoną przyczyną (na przykład Legalne lub Oszustwa).
  • Nierozwiązane: liczba nierozwiązanych alertów wymagających uwagi.

W dolnej sekcji pulpitu nawigacyjnego są wyświetlane alerty wpływające na dzierżawę Centrum partnerskiego, do której jesteś zalogowany.

Zrzut ekranu przedstawiający pulpit nawigacyjny Alerty zabezpieczeń i akcje, które można wykonać, w tym Anulowanie subskrypcji i Eksportowanie.

Tabela zawiera następujące kolumny:

  • Nazwa alertu: ogólne informacje o wykrytych elementach.
  • Identyfikator subskrypcji: identyfikator wyświetlany po wykryciu alertu w określonej subskrypcji platformy Azure.
  • Identyfikator alertu: unikatowy identyfikator alertu.
  • Stan alertu: stan alertu (aktywny lub rozwiązany).
  • Po raz pierwszy zaobserwowano: pierwszy raz wystąpił ten alert.
  • Ostatnio zaobserwowano: ostatni raz, kiedy pojawił się alert.
  • Typ alertu: typ wykrytego działania i przyczyna alertu. Istnieją dwa typy alertów:
    • Powiadomienie platformy Azure: wskazuje, że komunikat został wysłany do klienta objętej subskrypcji platformy Azure i wyświetlany jako powiadomienie usługi Service Health . Kopia tego komunikatu zostanie wyświetlona w szczegółach alertu.
    • Użycie platformy Azure: wskazuje nietypowy wzrost aktywności w subskrypcji platformy Azure lub nietypowe działanie występujące w subskrypcji, takie jak górnictwo kryptowalut.
  • Ważność: poziom pilności reagowania na alert.

Możesz użyć opcji Filtruj, aby zmienić alerty wyświetlane na pulpicie nawigacyjnym Alert.

Funkcja Wyszukiwania umożliwia wyszukiwanie wszystkich alertów dla informacji wprowadzonych w polu . Wyniki wyszukiwania zawierają następujące informacje:

  • Identyfikator subskrypcji
  • Identyfikator alertu
  • Nazwa klienta

Akcje na stronie szczegółów alertu

Aby wyświetlić więcej szczegółów dotyczących alertu, wybierz nazwę alertu. Na przykład poniższy przykładowy alert pokazuje zachowanie związane z wyszukiwaniem kryptowalut występującym w subskrypcji platformy Azure.

Zrzut ekranu przedstawiający szczegóły alertu związane z górnictwem kryptowalut.

Górna sekcja

W górnej części strony szczegółów alertu są wyświetlane informacje o kliencie i odsprzedawcy (jeśli dotyczy).

Opis alertu

Sekcja Opis alertu zawiera omówienie przyczyn wystąpienia alertu wraz z krokami do zbadania.

Zasoby objęte wpływem

Sekcja Zasoby , których to dotyczy, zawiera dwie akcje:

  • Oznacz jako uzasadnione: Zbadano zasoby i nie znaleziono żadnych dowodów na to, co alert wskazał lub zweryfikowano u klienta, że zachowanie jest oczekiwane.
  • Oznacz jako oszustwo: Przeprowadziłeś dochodzenie dotyczące zasobów i stwierdziłeś, że działały one zgodnie ze wskazanym w alercie zachowaniem.

Po zakończeniu badania alertu wybierz akcję, aby poinformować Centrum partnerskie o wykrytej akcji. Wybranie akcji oznacza alert Rozwiązany. Wybrana akcja wskazuje przyczynę (czyli wartość Przyczyna ) przyczyny rozwiązania alertu.

Informacje o zasobach

Sekcja Informacje o zasobach zawiera szczegółowe informacje o zasobach, które były zaangażowane w wykrywanie, które spowodowało alert. W tym przykładzie istnieje maszyna wirtualna o nazwie badvmtest w grupie zasobów o nazwie testserver. Wartości Czas pierwszego połączenia i Czas ostatniego połączenia wskazują, kiedy po raz pierwszy wykryliśmy ten zasób, kontaktując się ze znaną pulą wydobywczą i ostatni raz, kiedy to zaobserwowaliśmy.

Dodatkowe informacje

Sekcja Dodatkowe informacje zawiera szczegóły dotyczące zachowania, które wykazuje zasób, jeżeli takie są dostępne. W tym przykładzie maszyna wirtualna badvmtest komunikowała się z adresem IP znanej puli miningowej. W sekcji Informacje o zasobie pokazano, że jest on połączony z adresem IP cztery razy między czasem pierwszego połączenia a czasem ostatniego połączenia.

Zasoby

W sekcji Zasoby skorzystaj z linków, aby dowiedzieć się więcej o alertach i o tym, co należy zrobić po otrzymaniu alertu.

Sekcja dolna

W dolnej części strony szczegółów alertu są wyświetlane trzy przyciski akcji, które można wykonać.

Zrzut ekranu przedstawiający dół alertu zabezpieczeń z opcjami anulowania subskrypcji, zarządzania subskrypcją lub powrotu do alertów.

  • Anuluj subskrypcję: aby użyć tej akcji, musisz mieć zarówno rolę administratora globalnego, jak i agenta administratora. Jeśli badanie alertu wskazuje, że nieautoryzowana strona przejęła subskrypcję platformy Azure, możesz wybrać pozycję Anuluj subskrypcję, aby zwolnić wszystkie zasoby w subskrypcji platformy Azure i oznaczyć wszystkie dane w subskrypcji do usunięcia po zakończeniu okresu przechowywania.

    Przed podjęciem tej akcji zalecamy komunikowanie się z klientem o alercie i (jeśli to możliwe) uzyskanie zgody na anulowanie subskrypcji. Po wybraniu przycisku zostanie wyświetlone okno dialogowe z prośbą o potwierdzenie, że rozumiesz wpływ tej akcji.

    Zrzut ekranu przedstawiający okno dialogowe anulowania subskrypcji z opcjami powrotu i kontynuowania anulowania.

    Aby anulować subskrypcję platformy Azure, wybierz pozycję Kontynuuj z anulowaniem. Po wybraniu pozycji Kontynuuj anulowanie subskrypcja zostanie anulowana, a wszystkie alerty dla tej subskrypcji zostaną oznaczone jako Rozwiązane z przyczyną Oszustwa.

    Aby uzyskać więcej informacji, zobacz Anulowanie subskrypcji platformy Azure.

  • Zarządzanie subskrypcją: ta akcja pozwala przejść do portalu Azure przy użyciu funkcji Admin on Behalf of (AOBO). Na podstawie poziomu dostępu przyznanego Użytkownikowi może być możliwe dalsze zbadanie zasobów wskazanych w szczegółach alertu. Aby uzyskać więcej informacji, zobacz Zarządzanie subskrypcjami i zasobami w ramach planu platformy Azure.

  • Powrót do alertów: ta akcja zwraca Cię do pulpitu nawigacyjnego Alerty zabezpieczeń z listą alertów.

Działania na pulpicie nawigacyjnym alertów zabezpieczeń

Powyżej listy alertów na pulpicie Alerty zabezpieczeń znajdują się dwa działania, które można podjąć.

Zrzut ekranu przedstawiający pulpit nawigacyjny związany z alertami zabezpieczeń oraz opcje anulowania subskrypcji i eksportu informacji.

  • Anuluj subskrypcję: aby użyć tej akcji, musisz mieć zarówno rolę administratora globalnego, jak i agenta administratora. Jeśli badanie alertu wskazuje, że nieautoryzowana strona przejęła kontrolę nad subskrypcją platformy Azure, możesz wybrać pozycję Anuluj subskrypcję, aby dezaktywować wszystkie zasoby w subskrypcji platformy Azure i oznaczyć wszystkie dane w subskrypcji do usunięcia po upływie okresu przechowywania.

    Przed podjęciem tej akcji zalecamy komunikowanie się z klientem o alercie i (jeśli to możliwe) uzyskanie zgody na anulowanie subskrypcji. Po wybraniu przycisku zostanie wyświetlone okno dialogowe z prośbą o potwierdzenie, że rozumiesz wpływ tej akcji.

    Aby anulować subskrypcję platformy Azure, wybierz pozycję Kontynuuj z anulowaniem.

    Zrzut ekranu przedstawiający okno dialogowe potwierdzenia anulowania subskrypcji.

  • Eksportuj: jeśli chcesz wyeksportować wszystkie szczegółowe informacje o alertach, możesz użyć akcji Eksportuj , aby pobrać plik wartości rozdzielanej przecinkami (CSV), który zawiera informacje o alercie.

    Ta akcja powoduje utworzenie pliku CSV z tylko wyświetlanymi alertami. Aby dostosować alerty, które chcesz wyeksportować, użyj opcji Filtruj.

Powiązana zawartość