Détecter les alertes de sécurité et y répondre
Rôles appropriés : Agent d’administration
S’applique à : Facturation directe de l’Espace partenaires et fournisseurs indirects
Vous pouvez vous abonner à une nouvelle alerte de sécurité pour les détections liées aux abus et aux prises de compte non autorisés. Cette alerte de sécurité est l’une des nombreuses façons dont Microsoft fournit les données dont vous avez besoin pour sécuriser les locataires de votre client. Vous pouvez vous abonner à une nouvelle alerte de sécurité pour les détections liées aux abus et aux prises de compte non autorisés. Cette alerte de sécurité est l’une des nombreuses façons dont Microsoft fournit les données dont vous avez besoin pour sécuriser les locataires de votre client.
Important
En tant que partenaire du programme fournisseur de solutions Cloud (CSP), vous êtes responsable de la consommation Azure de vos clients. Il est donc important que vous soyez conscient de toute utilisation anormale dans les abonnements Azure de votre client. Utilisez des alertes de sécurité Microsoft Azure pour détecter les modèles d’activités frauduleuses et les mauvaises utilisations dans les ressources Azure pour réduire votre exposition aux risques de transaction en ligne. Les alertes de sécurité Microsoft Azure ne détectent pas tous les types d’activités frauduleuses ou d’utilisation abusive. Il est donc essentiel d’utiliser des méthodes supplémentaires de surveillance pour détecter l’utilisation anormale dans les abonnements Azure de votre client. Pour plus d’informations, consultez Gestion des non-paiements, fraudes ou mauvaise utilisation et gestion des comptes clients.
Action requise : avec la surveillance et la sensibilisation aux signaux, vous pouvez prendre des mesures immédiates pour déterminer si le comportement est légitime ou frauduleux. Si nécessaire, vous pouvez suspendre les ressources Azure affectées ou les abonnements Azure pour atténuer un problème.
Assurez-vous que l’adresse e-mail préférée de vos agents d’administration partenaires est à jour, afin qu’ils puissent être avertis avec les contacts de sécurité.
S’abonner aux notifications d’alerte de sécurité
Vous pouvez vous abonner à différentes notifications de partenaire en fonction de votre rôle.
Les alertes de sécurité vous avertissent lorsque l’abonnement Azure de votre client affiche des activités anormales possibles.
Obtenir des alertes par e-mail
- Connectez-vous à l’Espace partenaires et sélectionnez Notifications (cloche).
- Sélectionnez Mes préférences.
- Définissez une adresse e-mail préférée si vous ne l’avez pas déjà fait.
- Définissez la langue par défaut pour la notification si vous ne l’avez pas déjà fait.
- Sélectionnez Modifier en regard des préférences de notification par e-mail.
- Cochez toutes les cases relatives aux clients dans la colonne Espace de travail. (Pour vous désabonner, désélectionnez la section transactionnelle sous l’espace de travail du client.)
- Cliquez sur Enregistrer.
Nous envoyons des alertes de sécurité lorsque nous détectons les activités d’alerte de sécurité ou l’utilisation incorrecte dans certains abonnements Microsoft Azure de vos clients. Il existe trois types d’e-mails :
- Résumé quotidien des alertes de sécurité non résolues (nombre de partenaires, de clients et d’abonnements affectés par différents types d’alertes)
- Alertes de sécurité en temps quasi réel. Pour obtenir la liste des abonnements Azure qui ont des problèmes de sécurité potentiels, consultez Obtenir des événements de fraude.
- Notifications d’avis de sécurité en temps quasi réel. Ces notifications fournissent une visibilité sur les notifications envoyées au client lorsqu’il existe une alerte de sécurité.
fournisseur de solutions Cloud partenaires de facturation directe (CSP) peuvent voir d’autres alertes pour les activités, par exemple : utilisation anormale du calcul, exploration de données de chiffrement, utilisation d’Azure Machine Learning et notifications d’avis d’intégrité des services. fournisseur de solutions Cloud partenaires de facturation directe (CSP) peuvent voir d’autres alertes pour les activités, par exemple : utilisation anormale du calcul, exploration de données de chiffrement, utilisation d’Azure Machine Learning et notifications d’avis d’intégrité des services.
Obtenir des alertes via un webhook
Les partenaires peuvent s’inscrire à un événement webhook : azure-fraud-event-detected pour recevoir des alertes pour les événements de modification des ressources. Pour en savoir plus, consultez les événements webhook de l’Espace partenaires.
Afficher et répondre aux alertes via le tableau de bord Alertes de sécurité
Les partenaires CSP peuvent accéder au tableau de bord Alertes de sécurité de l’Espace partenaires pour détecter et répondre aux alertes. Pour plus d’informations, consultez Répondre aux événements de sécurité avec le tableau de bord Alertes de sécurité de l’Espace partenaires. Les partenaires CSP peuvent accéder au tableau de bord Alertes de sécurité de l’Espace partenaires pour détecter et répondre aux alertes. Pour plus d’informations, consultez Répondre aux événements de sécurité avec le tableau de bord Alertes de sécurité de l’Espace partenaires.
Obtenir des détails d’alerte via l’API
Utiliser la nouvelle API Alertes de sécurité Microsoft Graph (bêta)
Avantages : à compter de mai 2024, la préversion de l’API Alertes de sécurité Microsoft Graph est disponible. Cette API offre une expérience de passerelle d’API unifiée sur d’autres services Microsoft telles que l’ID Microsoft Entra, Teams et Outlook.
Exigences d’intégration : les partenaires CSP qui sont intégrés sont tenus d’utiliser la nouvelle API Bêta alertes de sécurité. Pour plus d’informations, consultez Utiliser l’API d’alerte de sécurité partenaire dans Microsoft Graph.
La version v1 de l’API Alertes de sécurité Microsoft Graph sera publiée en juillet 2024.
| Cas d’usage | API |
|---|---|
| Intégrer à l’API Microsoft Graph pour obtenir le jeton d’accès | Obtenir l’accès pour le compte d’un utilisateur |
| Répertorier les alertes de sécurité pour obtenir une visibilité sur les alertes | Répertorier securityAlerts |
| Obtenez des alertes de sécurité pour obtenir une visibilité sur une alerte spécifique en fonction de l’analyseur de requête sélectionné. | Obtenir partnerSecurityAlert |
| Obtenir un jeton pour appeler les API de l’Espace partenaires pour obtenir des informations de référence | Activer le modèle d’application sécurisé |
| Obtenir les informations de profil de votre organisation | Obtenir un profil d’organisation |
| Obtenir vos informations client par ID | Obtenir un client par ID |
| Obtenir les informations de vos revendeurs indirects d’un client par ID | Obtenir les revendeurs indirects d’un client |
| Obtenir les informations d’abonnement du client par ID | Obtenir un abonnement par ID |
| Mettre à jour l’état de l’alerte et résoudre en cas d’atténuation | Mettre à jour partnerSecurityAlert |
Prise en charge de l’API FraudEvents existante
Important
L’API des événements de fraude hérités sera déconseillée dans CY Q4 2024. Pour plus d’informations, consultez les annonces mensuelles de sécurité de l’Espace partenaires. Les partenaires CSP doivent migrer vers la nouvelle API Alertes de sécurité Microsoft Graph, qui est désormais disponible en préversion.
Pendant la période de transition, les partenaires CSP peuvent continuer à utiliser l’API FraudEvents pour obtenir des signaux de détection supplémentaires à l’aide de X-NewEventsModel. Avec ce modèle, vous pouvez obtenir de nouveaux types d’alertes à mesure qu’elles sont ajoutées au système, par exemple, l’utilisation anormale du calcul, l’exploration de données de chiffrement, l’utilisation d’Azure Machine Learning et les notifications d’avis d’intégrité des services. De nouveaux types d’alertes peuvent être ajoutés avec un avis limité, car les menaces évoluent également. Si vous utilisez une gestion spéciale via l’API pour différents types d’alertes, surveillez ces API pour les modifications suivantes :
Que faire quand vous recevez une notification d’alerte de sécurité
La liste de contrôle suivante fournit des étapes suivantes pour savoir comment procéder lorsque vous recevez une notification de sécurité.
- Vérifiez que la notification par e-mail est valide. Lorsque nous envoyons des alertes de sécurité, elles sont envoyées à partir de Microsoft Azure, avec l’adresse e-mail :
no-reply@microsoft.com. Les partenaires reçoivent uniquement la notification de Microsoft. - Lorsque vous êtes averti, vous pouvez également voir l’alerte par e-mail dans le portail du Centre de notifications. Sélectionnez l’icône en forme de cloche pour afficher les alertes du Centre de notifications.
- Passez en revue les abonnements Azure. Déterminez si l’activité dans l’abonnement est légitime et attendue, ou si l’activité peut être due à des abus ou fraudes non autorisés.
- Informez-nous de ce que vous avez trouvé, via le tableau de bord Alertes de sécurité ou à partir de l’API. Pour en savoir plus sur l’utilisation de l’API, consultez Mettre à jour l’état de l’événement de fraude. Utilisez les catégories suivantes pour décrire ce que vous avez trouvé :
- Légitime : l’activité est attendue ou un signal faux positif.
- Fraude : l’activité est due à des abus ou fraudes non autorisés.
- Ignorer : l’activité est une alerte plus ancienne et doit être ignorée. Pour en savoir plus, consultez Pourquoi les partenaires reçoivent-ils des alertes de sécurité plus anciennes ?.
Quelles autres mesures pouvez-vous prendre pour réduire le risque de compromission ?
- Activez l’authentification multifacteur (MFA) sur vos clients et locataires partenaires. Les comptes disposant d’autorisations pour gérer les abonnements Azure des clients doivent être conformes à l’authentification multifacteur. Pour plus d’informations, consultez fournisseur de solutions Cloud meilleures pratiques en matière de sécurité et meilleures pratiques de sécurité des clients.
- Configurez des alertes pour surveiller vos autorisations d’accès en fonction du rôle Azure (RBAC) sur les abonnements Azure des clients. Pour plus d’informations, consultez le plan Azure - Gérer les abonnements et les ressources.
- Auditez les modifications d’autorisation sur les abonnements Azure de vos clients. Passez en revue le journal d’activité Azure Monitor pour l’activité liée à l’abonnement Azure.
- Passez en revue les anomalies de dépense par rapport à votre budget de dépense dans la gestion des coûts Azure.
- Informez et collaborez avec les clients pour réduire le quota inutilisé afin d’éviter les dommages autorisés sur l’abonnement Azure : Vue d’ensemble des quotas - Quotas Azure.
- Envoyer une demande pour gérer le quota Azure : création d’une demande de support Azure - support Azure abilité
- Passer en revue l’utilisation actuelle du quota : Informations de référence sur l’API REST de quota Azure
- Si vous exécutez des charges de travail critiques nécessitant une capacité élevée, envisagez une réservation de capacité à la demande ou des instances de machines virtuelles réservées Azure
Que devez-vous faire si un abonnement Azure a été compromis ?
Prenez des mesures immédiates pour protéger votre compte et vos données. Voici quelques suggestions et conseils pour répondre rapidement et contenir un incident potentiel afin de réduire son impact et le risque global de l’entreprise.
La correction des identités compromises dans un environnement cloud est essentielle pour garantir la sécurité globale des systèmes basés sur le cloud. Les identités compromises peuvent fournir aux attaquants l’accès aux données et ressources sensibles, ce qui en fait essentiel de prendre des mesures immédiates pour protéger le compte et les données.
Modifiez immédiatement les informations d’identification pour :
- Administrateurs de locataires et accès RBAC sur les abonnements Azure Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?
- Suivez les instructions relatives au mot de passe. Recommandations relatives à la stratégie de mot de passe
- Vérifiez que tous les administrateurs du locataire et les propriétaires RBAC ont inscrit et appliqué l’authentification multifacteur
Passez en revue et vérifiez tous les e-mails de récupération de mot de passe de l’utilisateur administrateur et les numéros de téléphone dans l’ID Microsoft Entra. Mettez-les à jour si nécessaire. Recommandations relatives à la stratégie de mot de passe
Passez en revue les utilisateurs, les locataires et les abonnements à risque dans le portail Azure.
- Examinez le risque en accédant à Microsoft Entra ID pour consulter les rapports de risque d’Identity Protection. Pour plus d’informations, consultez Examiner les Protection des ID Microsoft Entra de risque
- Conditions de licence pour Identity Protection
- Corriger les risques et débloquer les utilisateurs
- Expériences utilisateur avec Microsoft Entra ID Protection
Passez en revue les journaux de connexion Microsoft Entra sur le client client pour voir des modèles de connexion inhabituels à l’heure de déclenchement de l’alerte de sécurité.
Une fois les acteurs malveillants supprimés, nettoyez les ressources compromises. Gardez un œil étroit sur l’abonnement affecté pour vous assurer qu’il n’y a pas d’activité suspecte supplémentaire. Il est également judicieux d’examiner régulièrement vos journaux et pistes d’audit pour vous assurer que votre compte est sécurisé.
- Recherchez toute activité non autorisée dans le journal d’activité Azure, par exemple, les modifications apportées à notre facturation, l’utilisation pour les éléments de ligne de consommation commerciale non facturés ou les configurations.
- Passez en revue les anomalies de dépense par rapport au budget de dépense du client dans la gestion des coûts Azure.
- Désactivez ou supprimez les ressources compromises :
- Identifiez et supprimez l’acteur des menaces : utilisez les ressources de sécurité Microsoft et Azure pour vous aider à récupérer à partir d’une compromission d’identité systémique.
- Vérifiez les modifications au niveau de l’abonnement dans le journal d’activité Azure.
- Libérez et supprimez toutes les ressources créées par un tiers non autorisé. Regardez comment nettoyer votre abonnement Azure | Conseils et astuces Azure (vidéo)
- Vous pouvez annuler les abonnements Azure des clients via l’API (Annuler un droit Azure) ou via le portail de l’Espace partenaires.
- Contactez support Azure immédiatement et signalez l’incident
- Nettoyer le stockage après l’événement : Rechercher et supprimer des disques managés et non managés Azure non attachés - Azure Machines Virtuelles
Empêcher la compromission de compte est plus facile que la récupération à partir de celui-ci. Par conséquent, il est important de renforcer votre posture de sécurité.
- Passez en revue le quota sur les abonnements Azure clients et envoyez la demande pour réduire le quota inutilisé. Pour plus d’informations, consultez Réduire le quota.
- Passez en revue et implémentez les meilleures pratiques de sécurité fournisseur de solutions Cloud.
- Collaborez avec vos clients pour apprendre et implémenter les meilleures pratiques de sécurité des clients.
- Assurez-vous que Defender pour le cloud est activé (il existe un niveau gratuit disponible pour ce service).
- Assurez-vous que Defender pour le cloud est activé (il existe un niveau gratuit disponible pour ce service).
Pour plus d’informations, consultez la prise en charge de l’article.
Plus d’outils pour la supervision
- Configurer des alertes à partir du Portail Azure
- Définir un budget de dépenses Azure pour les clients
Comment préparer vos clients finaux
Microsoft envoie des notifications aux abonnements Azure, qui vont à vos clients finaux. Collaborez avec votre client final pour vous assurer qu’il peut agir de manière appropriée et qu’il est averti de divers problèmes de sécurité au sein de son environnement :
- Configurez des alertes d’utilisation avec Azure Monitor ou Azure Cost Management.
- Configurez les alertes d’intégrité du service pour connaître d’autres notifications de Microsoft concernant la sécurité et d’autres problèmes connexes.
- Collaborez avec l’administrateur client de votre organisation (s’il n’est pas géré par le partenaire) pour appliquer des mesures de sécurité accrues à votre locataire (voir la section suivante).
Informations supplémentaires pour la protection de votre locataire
- Passez en revue et implémentez les meilleures pratiques de sécurité opérationnelle pour vos ressources Azure.
- Appliquez l’authentification multifacteur pour renforcer votre posture de sécurité des identités.
- Implémentez des stratégies de risque et des alertes pour les utilisateurs à haut risque et les connexions : Qu’est-ce que Protection des ID Microsoft Entra ?.
Si vous suspectez l’utilisation non autorisée de votre abonnement Azure ou de votre client, engagez le support Microsoft Azure afin que Microsoft puisse accélérer toutes les autres questions ou préoccupations.
Si vous avez des questions spécifiques concernant l’Espace partenaires, envoyez une demande de support dans l’Espace partenaires. Pour plus d’informations : Obtenir du support dans l’Espace partenaires.
Vérifier les notifications de sécurité dans les journaux d’activité
- Connectez-vous à l’Espace partenaires et sélectionnez l’icône paramètres (engrenage) en haut à droite, puis sélectionnez l’espace de travail Paramètres du compte.
- Accédez aux journaux d’activité dans le volet gauche.
- Définissez les dates De et À dans le filtre supérieur.
- Dans Filtrer par type d’opération, sélectionnez Événement de fraude Azure détecté. Vous devriez être en mesure de voir tous les événements d’alertes de sécurité détectés pour la période sélectionnée.
Pourquoi les partenaires reçoivent-ils des alertes de sécurité Azure plus anciennes ?
Microsoft envoie des alertes de fraude Azure depuis décembre 2021. Toutefois, dans le passé, la notification d’alerte était basée sur la préférence d’adhésion uniquement, où les partenaires devaient choisir de recevoir un avis. Nous avons modifié ce comportement. Les partenaires doivent maintenant résoudre toutes les alertes de fraude (y compris les anciennes alertes) ouvertes. Pour sécuriser votre posture de sécurité et celle de vos clients, suivez les bonnes pratiques de sécurité fournisseur de solutions Cloud.
Microsoft envoie le résumé quotidien de la fraude (il s’agit du nombre de partenaires, de clients et d’abonnements affectés) s’il existe une alerte de fraude non résolue active au cours des 60 derniers jours. Microsoft envoie le résumé quotidien de la fraude (il s’agit du nombre de partenaires, de clients et d’abonnements affectés) s’il existe une alerte de fraude non résolue active au cours des 60 derniers jours.
Pourquoi ne vois-je pas toutes les alertes ?
Les notifications d’alerte de sécurité sont limitées à la détection de modèles de certaines actions anormales dans Azure. Les notifications d’alerte de sécurité ne détectent pas et ne sont pas garanties pour détecter tous les comportements anormals. Il est essentiel d’utiliser d’autres méthodes de supervision pour détecter l’utilisation anormale dans les abonnements Azure de votre client, comme les budgets mensuels de dépenses Azure. Si vous recevez une alerte significative et est un faux négatif, contactez le support partenaire et fournissez les informations suivantes :
- ID de locataire partenaire
- ID de locataire du client
- ID d’abonnement
- ID de ressource
- Date de début et d’impact sur l’impact
Contenu connexe
- Intégrez l’API Alertes de sécurité et inscrivez un webhook.