Individuare e rispondere agli avvisi di sicurezza
Ruoli appropriati: agente di amministrazione
Si applica a: Provider indiretti e fatturazione diretta del Centro per i partner
È possibile sottoscrivere un nuovo avviso di sicurezza per i rilevamenti relativi a abusi e acquisizioni di account non autorizzati. Questo avviso di sicurezza è uno dei molti modi in cui Microsoft fornisce i dati necessari per proteggere i tenant del cliente. È possibile sottoscrivere un nuovo avviso di sicurezza per i rilevamenti relativi a abusi e acquisizioni di account non autorizzati. Questo avviso di sicurezza è uno dei molti modi in cui Microsoft fornisce i dati necessari per proteggere i tenant del cliente.
Importante
In qualità di partner nel programma Cloud Solution Provider (CSP), si è responsabili dell'utilizzo di Azure dei clienti, quindi è importante tenere presente qualsiasi utilizzo anomalo nelle sottoscrizioni di Azure del cliente. Usare gli avvisi di sicurezza di Microsoft Azure per rilevare modelli di attività fraudolente e uso improprio nelle risorse di Azure per ridurre l'esposizione ai rischi delle transazioni online. Gli avvisi di sicurezza di Microsoft Azure non rilevano tutti i tipi di attività fraudolente o uso improprio, pertanto è fondamentale usare metodi aggiuntivi di monitoraggio per rilevare l'utilizzo anomalo nelle sottoscrizioni di Azure del cliente. Per altre informazioni, vedere Gestione di pagamenti, frodi o uso improprio e Gestione degli account dei clienti.
Azione necessaria: con il monitoraggio e la consapevolezza dei segnali, è possibile intervenire immediatamente per determinare se il comportamento è legittimo o fraudolento. Se necessario, è possibile sospendere le risorse di Azure interessate o le sottoscrizioni di Azure per attenuare un problema.
Assicurarsi che l'indirizzo di posta elettronica preferito per gli agenti di amministrazione partner sia aggiornato, in modo che possano ricevere una notifica insieme ai contatti di sicurezza.
Sottoscrivere le notifiche degli avvisi di sicurezza
È possibile sottoscrivere diverse notifiche dei partner in base al ruolo.
Gli avvisi di sicurezza segnalano quando la sottoscrizione di Azure del cliente mostra le possibili attività anomale.
Ricevere avvisi tramite posta elettronica
- Accedere al Centro per i partner e selezionare Notifiche (campanello).
- Selezionare Preferenze personali.
- Impostare un indirizzo di posta elettronica preferito se non è già stato fatto.
- Se non è già stato fatto, impostare la lingua preferita per la notifica.
- Selezionare Modifica accanto a Preferenze di notifica tramite posta elettronica.
- Selezionare tutte le caselle relative ai clienti nella colonna Area di lavoro . Per annullare la sottoscrizione, deselezionare la sezione transazionale nell'area di lavoro del cliente.
- Seleziona Salva.
Gli avvisi di sicurezza vengono inviati quando vengono rilevate possibili attività di avviso di sicurezza o uso improprio in alcune sottoscrizioni di Microsoft Azure dei clienti. Esistono tre tipi di messaggi di posta elettronica:
- Riepilogo giornaliero degli avvisi di sicurezza non risolti (numero di partner, clienti e sottoscrizioni interessati da vari tipi di avviso)
- Avvisi di sicurezza quasi in tempo reale. Per ottenere un elenco delle sottoscrizioni di Azure che presentano potenziali problemi di sicurezza, vedere Ottenere eventi illeciti.
- Notifiche di consulenza sulla sicurezza quasi in tempo reale. Queste notifiche forniscono visibilità sulle notifiche inviate al cliente quando è presente un avviso di sicurezza.
I partner con fatturazione diretta cloud Solution Provider (CSP) possono visualizzare altri avvisi per le attività, ad esempio: utilizzo anomalo del calcolo, crypto mining, utilizzo di Azure Machine Learning e notifiche di avviso sull'integrità dei servizi. I partner con fatturazione diretta cloud Solution Provider (CSP) possono visualizzare altri avvisi per le attività, ad esempio: utilizzo anomalo del calcolo, crypto mining, utilizzo di Azure Machine Learning e notifiche di avviso sull'integrità dei servizi.
Ottenere avvisi tramite un webhook
I partner possono registrarsi a un evento webhook: azure-fraud-event-detected per ricevere avvisi per gli eventi di modifica delle risorse. Per altre informazioni, vedere Eventi webhook del Centro per i partner.
Visualizzare e rispondere agli avvisi tramite il dashboard Avvisi di sicurezza
I partner CSP possono accedere al dashboard Avvisi di sicurezza del Centro per i partner per rilevare e rispondere agli avvisi. Per altre informazioni, vedere Rispondere agli eventi di sicurezza con il dashboard Avvisi di sicurezza del Centro per i partner. I partner CSP possono accedere al dashboard Avvisi di sicurezza del Centro per i partner per rilevare e rispondere agli avvisi. Per altre informazioni, vedere Rispondere agli eventi di sicurezza con il dashboard Avvisi di sicurezza del Centro per i partner.
Ottenere i dettagli degli avvisi tramite l'API
Usare la nuova API Avvisi di sicurezza di Microsoft Graph (beta)
Vantaggi: a partire da maggio 2024, è disponibile la versione di anteprima dell'API Avvisi di sicurezza di Microsoft Graph. Questa API offre un'esperienza unificata del gateway API in altri servizi Microsoft, ad esempio Microsoft Entra ID, Teams e Outlook.
Requisiti di onboarding: i partner CSP che eseguono l'onboarding devono usare la nuova API Beta avvisi di sicurezza. Per altre informazioni, vedere Usare l'API degli avvisi di sicurezza dei partner in Microsoft Graph.
La versione V1 dell'API Avvisi di sicurezza di Microsoft Graph verrà rilasciata a luglio 2024.
| Caso d'uso | API |
|---|---|
| Eseguire l'onboarding nell'API Microsoft Graph per ottenere il token di accesso | Ottenere l'accesso per conto di un utente |
| Elencare gli avvisi di sicurezza per ottenere visibilità sugli avvisi | Elencare securityAlerts |
| Ottenere avvisi di sicurezza per ottenere visibilità su un avviso specifico in base al parametro di query selezionato. | Ottenere partnerSecurityAlert |
| Ottenere il token per chiamare le API del Centro per i partner per informazioni di riferimento | Abilitare il modello di applicazione sicura |
| Ottenere le informazioni sul profilo dell'organizzazione | Ottenere un profilo dell'organizzazione |
| Ottenere le informazioni del cliente in base all'ID | Ottenere un cliente in base all'ID |
| Ottenere le informazioni sui rivenditori indiretti di un cliente in base all'ID | Ottenere i rivenditori indiretti di un cliente |
| Ottenere le informazioni sulla sottoscrizione del cliente in base all'ID | Ottenere un abbonamento in base all'ID |
| Aggiornare lo stato dell'avviso e risolverlo in caso di mitigazione | Aggiornare partnerSecurityAlert |
Supporto per l'API FraudEvents esistente
Importante
L'API degli eventi di frode legacy sarà deprecata in CY Q4 2024. Per altri dettagli, consultare gli annunci mensili relativi alla sicurezza del Centro per i partner. I partner CSP devono eseguire la migrazione alla nuova API Avvisi di sicurezza di Microsoft Graph, ora disponibile in anteprima.
Durante il periodo di transizione, i partner CSP possono continuare a usare l'API FraudEvents per ottenere segnali di rilevamento aggiuntivi usando X-NewEventsModel. Con questo modello è possibile ottenere nuovi tipi di avvisi man mano che vengono aggiunti al sistema, ad esempio, utilizzo di calcolo anomalo, crypto mining, utilizzo di Azure Machine Learning e notifiche di avviso sull'integrità dei servizi. È possibile aggiungere nuovi tipi di avvisi con preavviso limitato, perché le minacce sono in continua evoluzione. Se si usa una gestione speciale tramite l'API per tipi di avviso diversi, monitorare queste API per verificare la presenza di modifiche:
Operazioni da eseguire quando si riceve una notifica di avviso di sicurezza
L'elenco di controllo seguente fornisce i passaggi successivi suggeriti per le operazioni da eseguire quando si riceve una notifica di sicurezza.
- Verificare che la notifica tramite posta elettronica sia valida. Quando si inviano avvisi di sicurezza, vengono inviati da Microsoft Azure, con l'indirizzo di posta elettronica:
no-reply@microsoft.com. I partner ricevono notifiche solo da Microsoft. - Quando si riceve una notifica, è anche possibile visualizzare l'avviso di posta elettronica nel portale del Centro notifiche. Selezionare l'icona a forma di campana per visualizzare gli avvisi del Centro notifiche.
- Esaminare le sottoscrizioni di Azure. Determinare se l'attività nella sottoscrizione è legittima e prevista o se l'attività potrebbe essere dovuta a abusi o frodi non autorizzati.
- Comunicaci cosa hai trovato, tramite il dashboard degli avvisi di sicurezza o dall'API. Per altre informazioni sull'uso dell'API, vedere Aggiornare lo stato degli eventi illeciti. Usare le categorie seguenti per descrivere gli elementi trovati:
- Legittimo : l'attività è prevista o un segnale falso positivo.
- Frode : l'attività è dovuta a abusi o frodi non autorizzati.
- Ignora : l'attività è un avviso precedente e deve essere ignorata. Per altre informazioni, vedere Perché i partner ricevono avvisi di sicurezza meno recenti?
Quali altri passaggi è possibile eseguire per ridurre il rischio di compromissione?
- Abilitare l'autenticazione a più fattori (MFA) nei tenant dei clienti e dei partner. Gli account che dispongono delle autorizzazioni per gestire le sottoscrizioni di Azure dei clienti devono essere conformi a MFA. Per altre informazioni, vedere Procedure consigliate per la sicurezza di Cloud Solution Provider e Procedure consigliate per la sicurezza dei clienti.
- Configurare gli avvisi per monitorare le autorizzazioni di accesso di Controllo degli accessi in base al ruolo di Azure per le sottoscrizioni di Azure dei clienti. Per altre informazioni, vedere Piano di Azure - Gestire sottoscrizioni e risorse.
- Controllare le modifiche alle autorizzazioni per le sottoscrizioni di Azure dei clienti. Esaminare il log attività di Monitoraggio di Azure per l'attività correlata alla sottoscrizione di Azure.
- Esaminare le anomalie di spesa rispetto al budget di spesa in Gestione costi di Azure.
- Informare e collaborare con i clienti per ridurre la quota inutilizzata per evitare i danni consentiti nella sottoscrizione di Azure: Panoramica delle quote - Quote di Azure.
- Inviare una richiesta per gestire la quota di Azure: come creare una richiesta di supporto tecnico di Azure - supporto tecnico di Azure ability
- Esaminare l'utilizzo corrente della quota: Informazioni di riferimento sull'API REST quota di Azure
- Se si eseguono carichi di lavoro critici che richiedono capacità elevata, prendere in considerazione la prenotazione della capacità su richiesta o le istanze di macchine virtuali riservate di Azure
Cosa è necessario fare se una sottoscrizione di Azure è stata compromessa?
Intervenire immediatamente per proteggere l'account e i dati. Ecco alcuni suggerimenti e suggerimenti per rispondere rapidamente e contenere un potenziale evento imprevisto per ridurre l'impatto e il rischio aziendale complessivo.
La correzione delle identità compromesse in un ambiente cloud è fondamentale per garantire la sicurezza complessiva dei sistemi basati sul cloud. Le identità compromesse possono fornire agli utenti malintenzionati l'accesso a dati e risorse sensibili, rendendo essenziale intervenire immediatamente per proteggere l'account e i dati.
Modificare immediatamente le credenziali per:
- Amministratori tenant e accesso controllo degli accessi in base al ruolo nelle sottoscrizioni di Azure Che cos'è il controllo degli accessi in base al ruolo di Azure?
- Seguire le indicazioni per la password. Raccomandazioni per i criteri delle password
- Verificare che tutti gli amministratori tenant e i proprietari del controllo degli accessi in base al ruolo abbiano l'autenticazione a più fattori registrata e applicata
Esaminare e verificare tutti i messaggi di posta elettronica e i numeri di telefono di ripristino delle password dell'utente amministratore all'interno di Microsoft Entra ID. Aggiornarli, se necessario. Raccomandazioni per i criteri delle password
Esaminare gli utenti, i tenant e le sottoscrizioni a rischio all'interno del portale di Azure.
- Esaminare il rischio passando a Microsoft Entra ID per esaminare i report sui rischi di Identity Protection. Per altre informazioni, vedere Analizzare i rischi di Microsoft Entra ID Protection
- Requisiti di licenza per Identity Protection
- Correggere i rischi e sbloccare gli utenti
- Esperienze utente con Microsoft Entra ID Protection
Esaminare i log di accesso di Microsoft Entra nel tenant del cliente per visualizzare modelli di accesso insoliti nel momento in cui viene attivato l'avviso di sicurezza.
Dopo che gli attori malintenzionati sono stati rimossi, pulire le risorse compromesse. Tenere d'occhio la sottoscrizione interessata per assicurarsi che non ci siano ulteriori attività sospette. È anche consigliabile esaminare regolarmente i log e i audit trail per assicurarsi che l'account sia sicuro.
- Verificare la presenza di attività non autorizzate nel log attività di Azure, ad esempio modifiche alla fatturazione, all'utilizzo per le voci di utilizzo commerciali non fatturate o alle configurazioni.
- Esaminare le anomalie di spesa rispetto al budget di spesa del cliente nella gestione dei costi di Azure.
- Disabilitare o eliminare tutte le risorse compromesse:
- Identificare e rimuovere l'attore della minaccia: usare le risorse di sicurezza di Microsoft e Azure per risolvere i problemi di identità sistemici.
- Controllare il log attività di Azure eventuali modifiche a livello di sottoscrizione.
- Deallocare e rimuovere tutte le risorse create da parti non autorizzate. Guardare Come mantenere pulita la sottoscrizione di Azure | Suggerimenti e consigli di Azure (video)
- È possibile annullare le sottoscrizioni di Azure dei clienti tramite l'API (Annullare un diritto di Azure) o tramite il portale del Centro per i partner.
- Contattare supporto tecnico di Azure immediatamente e segnalare l'evento imprevisto
- Pulire l'archiviazione dopo l'evento: trovare ed eliminare dischi gestiti e non gestiti di Azure non collegati - Azure Macchine virtuali
Impedire la compromissione dell'account è più semplice rispetto al ripristino da esso. È quindi importante rafforzare il comportamento di sicurezza.
- Esaminare la quota per le sottoscrizioni di Azure dei clienti e inviare la richiesta per ridurre la quota inutilizzata. Per altre informazioni, vedere Ridurre la quota.
- Esaminare e implementare le procedure consigliate per la sicurezza di Cloud Solution Provider.
- Collaborare con i clienti per apprendere e implementare le procedure consigliate per la sicurezza dei clienti.
- Assicurarsi che Defender per il cloud sia attivato (è disponibile un livello gratuito per questo servizio).
- Assicurarsi che Defender per il cloud sia attivato (è disponibile un livello gratuito per questo servizio).
Per altre informazioni, vedere il supporto dell'articolo.
Altri strumenti per il monitoraggio
Come preparare i clienti finali
Microsoft invia notifiche alle sottoscrizioni di Azure, che passano ai clienti finali. Collaborare con il cliente finale per assicurarsi che possano agire in modo appropriato e ricevere avvisi relativi a vari problemi di sicurezza all'interno del proprio ambiente:
- Configurare gli avvisi di utilizzo con Monitoraggio di Azure o Gestione costi di Azure.
- Configurare gli avvisi di integrità dei servizi in modo che siano consapevoli di altre notifiche di Microsoft sulla sicurezza e altri problemi correlati.
- Collaborare con l'amministratore tenant dell'organizzazione (se non gestito dal partner) per applicare misure di sicurezza maggiori nel tenant (vedere la sezione seguente).
Informazioni aggiuntive per la protezione del tenant
- Esaminare e implementare le procedure consigliate per la sicurezza operativa per gli asset di Azure.
- Applicare l'autenticazione a più fattori per rafforzare il comportamento di sicurezza delle identità.
- Implementare criteri di rischio e avvisi per utenti e accessi ad alto rischio: Che cos'è Microsoft Entra ID Protection?.
Se si sospetta un utilizzo non autorizzato della sottoscrizione di Azure o del cliente, contattare il supporto tecnico di Microsoft Azure in modo che Microsoft possa accelerare eventuali altre domande o dubbi.
In caso di domande specifiche relative al Centro per i partner, inviare una richiesta di supporto nel Centro per i partner. Per altre informazioni: Ottenere supporto nel Centro per i partner.
Controllare le notifiche di sicurezza nei log attività
- Accedere al Centro per i partner e selezionare l'icona delle impostazioni (ingranaggio) nell'angolo superiore destro, quindi selezionare l'area di lavoro Impostazioni account.
- Passare a Log attività nel pannello sinistro.
- Impostare le date Da e A nel filtro superiore.
- In Filtra per tipo di operazione selezionare Evento illecito di Azure rilevato. Dovrebbe essere possibile visualizzare tutti gli avvisi di sicurezza Rilevati per il periodo selezionato.
Perché i partner ricevono avvisi di sicurezza di Azure meno recenti?
Microsoft ha inviato avvisi di frode di Azure a partire da dicembre 2021. Tuttavia, in passato, la notifica di avviso era basata solo sulla preferenza di consenso esplicito, in cui i partner hanno dovuto acconsentire esplicitamente a ricevere notifica. Questo comportamento è stato modificato. I partner dovrebbero ora risolvere tutti gli avvisi illeciti (inclusi gli avvisi precedenti) aperti. Per proteggere il comportamento di sicurezza dei clienti e dei clienti, seguire le procedure consigliate per la sicurezza di Cloud Solution Provider.
Microsoft invia il riepilogo delle frodi giornaliere (ovvero il numero di partner, clienti e sottoscrizioni interessate) se è presente un avviso di frode non risolto attivo negli ultimi 60 giorni. Microsoft invia il riepilogo delle frodi giornaliere (ovvero il numero di partner, clienti e sottoscrizioni interessate) se è presente un avviso di frode non risolto attivo negli ultimi 60 giorni.
Perché non vengono visualizzati tutti gli avvisi?
Le notifiche degli avvisi di sicurezza sono limitate al rilevamento di modelli di determinate azioni anomale in Azure. Le notifiche degli avvisi di sicurezza non rilevano e non sono garantiti per rilevare tutti i comportamenti anomali. È fondamentale usare altri metodi di monitoraggio per rilevare l'utilizzo anomalo nelle sottoscrizioni di Azure del cliente, ad esempio i budget di spesa mensili di Azure. Se si riceve un avviso significativo e falso negativo, contattare il supporto per i partner e fornire le informazioni seguenti:
- Partner Tenant ID
- ID tenant del cliente
- ID sottoscrizione
- ID risorsa
- Impatto sulle date di fine dell'inizio e dell'impatto
Contenuto correlato
- Eseguire l'integrazione con l'API Avvisi di sicurezza e registrare un webhook.