Поделиться через

Реагирование на события безопасности с помощью панели мониторинга оповещений системы безопасности

  • Статья

Соответствующие роли: агент администрирования

Область применения: партнеры по прямому выставлению счетов в Центре партнеров и косвенные поставщики

Панель управления Оповещениями безопасности Центра партнеров помогает быстро реагировать на угрозы безопасности, мошенничество и другие события, происходящие в Центре партнеров или в арендаторах ваших клиентов.

Программные интерфейсы

Если у вас несколько клиентов Microsoft Entra в Центре партнеров, можно использовать следующие API для получения и обновления оповещений вместо панели мониторинга оповещений системы безопасности:

Предварительные условия

Чтобы использовать панель мониторинга оповещений безопасности Центра партнеров, учетной записи пользователя должна быть назначена роль администратора агента.

Важность своевременного реагирования на оповещения

Когда на панели мониторинга создается оповещение, критически важно, чтобы устранить инцидент, который вызвал оповещение как можно скорее. В качестве руководящих принципов мы рекомендуем отвечать на оповещения в течение одного часа. Для типа оповещений о мошенничестве, чем больше времени требуется реагировать на инцидент и устранять инцидент, который вызвал оповещение, тем больше потенциальное финансовое влияние.

Открытие панели мониторинга

Чтобы открыть панель мониторинга оповещений системы безопасности Центра партнеров, выполните следующие действия.

  1. Войдите в Центр партнеров в качестве пользователя с ролью агента администрирования.
  2. Выберите рабочую область Insights.
  3. В меню слева в разделе "Безопасность" выберите "Оповещения".

Эту ссылку можно также использовать для перехода непосредственно на панель мониторинга.

Просмотр оповещений

На панели мониторинга отображаются сведения о следующих категориях оповещений.

Снимок экрана, демонстрирующий панель мониторинга оповещений в Партнерском центре, включая такие элементы, как среднее время отклика, новые события на этой неделе, а также разрешенные и нерешенные происшествия.

  • Среднее время: среднее время реагирования и разрешения оповещений за последние 30 дней.
  • Новые события на этой неделе: количество новых оповещений за последние семь дней.
  • Урегулировано: количество оповещений, которые урегулированы с указанием причины (например, Законный или Мошенничество).
  • Нерешенный: количество нерешенных сигналов тревоги, требующих внимания.

В нижнем разделе панели мониторинга перечислены оповещения, влияющие на клиент Центра партнеров, в котором вы вошли.

Скриншот, на котором показана панель уведомлений безопасности и доступные действия, включая отмену подписки и экспорт.

В таблице есть следующие столбцы:

  • Имя оповещения: высокоуровневая информация об обнаруженном.
  • Идентификатор подписки: идентификатор, который отображается при обнаружении оповещения в определенной подписке Azure.
  • Идентификатор оповещения: уникальный идентификатор оповещения.
  • Состояние оповещения: состояние оповещения (активный или разрешенный).
  • Первое наблюдаемое: первый раз, когда появилось оповещение.
  • Последнее наблюдаемое: последнее время появления оповещения.
  • Тип оповещения: тип обнаруженного действия и вызвавшего оповещение. Существует два типа оповещений:
    • Уведомление Azure. Указывает, что сообщение было отправлено клиенту затронутой подписки Azure и отображается как уведомление о работоспособности служб. Копия этого сообщения отображается в сведениях об оповещении.
    • Azure Usage: Указывает на либо необычное увеличение активности в подписке Azure, либо на аномальное действие в подписке, такое как добыча криптовалют.
  • Серьезность: уровень срочности реагирования на оповещение.

Для изменения того, какие оповещения отображаются на панели мониторинга Оповещений, можно использовать фильтр.

Вы можете использовать функцию поиска, чтобы найти всю информацию в оповещениях, которую вы вводите в поле. Результаты поиска включают следующие сведения:

  • ИД подписки
  • Идентификатор оповещения
  • Имя клиента

Действия на странице сведений об оповещении

Чтобы отобразить дополнительные сведения об оповещении, выберите имя оповещения. Например, в следующем примере оповещения показано поведение, связанное с добычей криптовалют, происходящим в подписке Azure.

Снимок экрана: сведения о оповещении, связанные с добычей криптовалют.

Верхний раздел

В верхней части страницы сведений об оповещении отображаются сведения о клиенте и торговом посреднике (если применимо).

Описание предупреждения

В разделе описания оповещений представлен обзор причины возникновения оповещения, а также действия по изучению.

Затронутые ресурсы

Раздел "Затронутые ресурсы " содержит два действия:

  • Пометить как допустимый: вы изучили ресурсы и либо не нашли никаких доказательств того, на что указывало оповещение, либо проверили с клиентом, что такое поведение ожидается.
  • Пометить как мошенничество: вы изучили ресурсы и обнаружили, что они выполняют поведение, об этом сигнализировало оповещение.

После завершения исследования оповещения выберите действие, чтобы сообщить Центру партнеров о том, что вы обнаружили. Выбор действия помечает оповещение как решенное. Выбранное действие указывает причину (то есть значение причины), по которой вы разрешаете оповещение.

Сведения о ресурсе

В разделе сведений о ресурсах содержатся сведения о ресурсах, участвующих в обнаружении, вызвавшей оповещение. В этом примере в группе ресурсов с именем testserver есть виртуальная машина с именем badvmtest. Первое время подключения и последнее время подключенияуказывают, когда мы впервые обнаружили, что этот ресурс связался с известным майнинг-пулом, и последнее время, когда мы его наблюдали.

Дополнительная информация:

В разделе "Дополнительные сведения" содержатся сведения о поведении, которое предоставляет ресурс, если он доступен. В этом примере виртуальная машина badvmtest взаимодействовала с IP-адресом известного майнинг-пула. В разделе сведений о ресурсе показано, что он подключен к IP-адресу четыре раза между временем первого подключения и временем последнего подключения.

Ресурсы

В разделе "Ресурсы" используйте ссылки, чтобы узнать больше о оповещениях и о том, что делать при получении оповещения.

Нижний раздел

В нижней части страницы сведений об оповещении показаны три кнопки для действий, которые можно предпринять.

Снимок экрана: внизу оповещения системы безопасности с параметрами отмены подписки, управления подпиской или возврата к оповещениям.

  • Отмена подписки. Для использования этого действия необходимо использовать роли глобального администратора и агента администрирования. Если расследование оповещения указывает на то, что несанкционированная сторона захватила подписку Azure, вы можете выбрать «Отмена подписки», чтобы освободить все ресурсы в подписке Azure и пометить все данные в подписке для удаления после срока хранения.

    Прежде чем принять это действие, рекомендуется связаться с клиентом об оповещении и (по возможности) получить свое согласие на отмену подписки. При нажатии кнопки появится диалоговое окно и попросит вас подтвердить, что вы понимаете влияние этого действия.

    Снимок экрана: диалоговое окно отмены подписки с параметрами возврата и продолжения отмены.

    Чтобы отменить подписку Azure, нажмите кнопку "Продолжить с отменой". При выборе Продолжить с отменой, подписка отменяется, а все оповещения для этой подписки помечаются как 'Разрешенные' с причиной Мошенничество.

    Дополнительные сведения см. в статье "Отмена подписки Azure".

  • Управление подпиской: Это действие перенаправит вас на портал Azure с использованием функции 'Администратор от имени' (AOBO). На основе уровня доступа, предоставленного клиенту, вы можете продолжить изучение ресурсов, указанных в сведениях о оповещении. Дополнительные сведения см. в разделе "Управление подписками и ресурсами" в рамках плана Azure.

  • Вернитесь к оповещениям: это действие возвращает вас на панель мониторинга оповещений системы безопасности с списком оповещений.

Действия на панели мониторинга оповещений системы безопасности

Над списком оповещений безопасности на панели Оповещения безопасности вы можете выполнить два действия.

Снимок экрана: панель мониторинга оповещений системы безопасности и параметры отмены подписки и экспорта сведений.

  • Отмена подписки. Для использования этого действия необходимо использовать роли глобального администратора и агента администрирования. Если расследование оповещения указывает на то, что несанкционированная сторона захватила подписку Azure, вы можете выбрать "Отмена подписки", чтобы освободить все ресурсы в подписке Azure и пометить все данные в подписке для удаления после срока хранения.

    Прежде чем принять это действие, рекомендуется связаться с клиентом об оповещении и (по возможности) получить свое согласие на отмену подписки. При нажатии кнопки появится диалоговое окно и попросит вас подтвердить, что вы понимаете влияние этого действия.

    Чтобы отменить подписку Azure, нажмите кнопку "Продолжить с отменой".

    Снимок экрана: диалоговое окно подтверждения для отмены подписки.

  • Экспорт. Если вы хотите экспортировать все подробные сведения об оповещениях, можно с помощью действия экспорта скачать ФАЙЛ с разделим запятыми (CSV-файл), содержащий сведения об оповещении.

    Это действие создает CSV-файл только с оповещениями, которые вы просматриваете в настоящее время. Чтобы настроить оповещения, которые требуется экспортировать, используйте параметр "Фильтр ".

Связанный контент