Reakce na události zabezpečení pomocí řídicího panelu Výstrahy zabezpečení
Příslušné role: Agent pro správu
Platí pro: Přímé vyúčtování v Partnerském centru a nepřímí poskytovatelé
Řídicí panel Výstrahy zabezpečení v Partnerském centru pomáhá partnerům rychle reagovat na zabezpečení, podvody a další události, ke kterým dochází v Partnerském centru nebo tenantovi zákazníka.
rozhraní API
Pro partnery, kteří mají více tenantů Microsoft Entra v Partnerském centru, můžete místo řídicího panelu Upozornění získat a aktualizovat upozornění pomocí následujících rozhraní API:
- Oznámení o podvodech Azure – Získání podvodných událostí
- Oznámení o podvodech Azure – aktualizace stavu události podvodu
Požadavky
Pokud chcete použít řídicí panel Výstrah zabezpečení v Partnerském centru, musí být váš uživatelský účet přiřazený roli agenta správce.
Důležitost včasné reakce na výstrahy
Když se na řídicím panelu vytvoří upozornění, je důležité, abyste co nejdříve zmírňovali prioritu incidentu, který výstrahu způsobil. Jako hlavní princip doporučujeme reagovat na výstrahy do jedné hodiny. U výstrah typu Podvod trvá déle, než odpovíte a zmírníte incident, který výstrahu způsobil, tím větší finanční dopad může narůstal.
Přechod na řídicí panel upozornění
Přístup k řídicímu panelu výstrah zabezpečení v Partnerském centru:
- Přihlaste se k Partnerskému centru pomocí uživatele s rolí agenta správce.
- Vyberte pracovní prostor Přehledy.
- V levé navigační nabídce v části Zabezpečení vyberte Výstrahy.
Zobrazení upozornění
Na stránce Upozornění se zobrazí následující:
- Nová upozornění tento týden – počet nových upozornění za posledních sedm dnů
- Vyřešeno – počet výstrah, které jsou vyřešeny s určitým důvodem (například legitimní nebo podvod).
- Aktivní & Probíhá – počet nevyřešených výstrah, které vyžadují pozornost.
V dolní části stránky upozornění jsou uvedeny výstrahy, které mají vliv na tenanta Partnerského centra, ke kterému jste přihlášení.
- Název výstrahy – Tento název zobrazuje informace vysoké úrovně o tom, co bylo zjištěno.
- ID předplatného – Tento identifikátor se zobrazí, když se v konkrétním předplatném Azure zjistí výstraha.
- ID výstrahy – jedinečný identifikátor výstrahy.
- Stav výstrahy – stav výstrahy (Aktivní nebo Vyřešeno).
- První pozorovaný stav – při prvním zobrazení výstrahy
- Poslední pozorovaný stav – poslední čas, kdy se výstraha zobrazila
- Typ výstrahy – typ zjištěné aktivity a způsobil výstrahu. Existují dva typy upozornění:
- Oznámení Azure – Tato výstraha indikuje, že se zákazníkovi ovlivněného předplatného Azure odeslala zpráva, která se zobrazila jako oznámení služby Service Health . Kopie této zprávy se zobrazí v podrobnostech výstrahy.
- Využití Azure – Tato výstraha označuje neobvyklé zvýšení aktivity v předplatném Azure nebo neobvyklou aktivitu, ke které dochází v předplatném, například k dolování kryptografických měn.
- Závažnost – označuje úroveň naléhavosti, kterou je třeba provést při reakci na výstrahu.
Možnost Filtr umožňuje změnit, jaké výstrahy se zobrazují na stránce Upozornění.
Hledání umožňuje hledat všechny výstrahy pro informace, které zadáte do vyhledávacího pole, a otevře stránku Upozornění . Prohledávají se následující pole:
- ID předplatného
- ID upozornění
- Jméno zákazníka
Akce na stránce s podrobnostmi výstrahy
Příklad stránky s podrobnostmi výstrahy :
Pokud chcete zobrazit další podrobnosti o výstraze, vyberte název výstrahy. Například následující příklad upozornění ukazuje chování související s dolováním kryptografie, ke kterému dochází v předplatném Azure.
V horní části stránky s podrobnostmi výstrahy se zobrazí informace o zákazníci a prodejci (pokud je k dispozici).
Popis výstrahy obsahuje přehled o tom, proč k upozornění došlo, spolu s kroky pro šetření.
V části Ovlivněné prostředky jsou uvedeny následující informace:
Informace o prostředcích – podrobnosti o prostředcích, které byly součástí detekce, která výstrahu způsobila. V tomto příkladu je virtuální počítač s názvem badvmtest ve skupině prostředků Testserver. Čas prvního připojení a čas posledního připojení značí, kdy jsme poprvé zjistili, že tento prostředek kontaktoval známý fond dolování, a poslední čas, kdy došlo k jeho zjištění.
Další informace – pokud jsou k dispozici podrobnosti o chování vystavené prostředkem, zobrazí se tady. V tomto příkladu virtuální počítač "badvmtest" komunikoval s IP adresou známého dolování fondu. V části Informace o prostředku se zobrazuje připojení k IP adrese čtyřikrát mezi časem prvního připojení a časem posledního připojení.
Panel akcí – Po dokončení vyšetřování výstrahy vyberte akci, která partnerskému centru sdělí, co jste zjistili. Výběrem akce označíte výstrahu Vyřešeno. Akce, kterou vyberete, označuje důvod, proč výstrahu řešíte. K dispozici jsou tyto možnosti:
- Označit jako legitimní – prozkoumali jste prostředky a buď jste nenašli žádné důkazy o tom, co výstraha označila, nebo při kontrole u zákazníka značí, že chování se očekává.
- Označit jako podvod – prošetřili jste prostředky a zjistili jste, že provádějí chování, které je označeno upozorněním.
Zdroje – pomocí odkazů v této části upozornění se dozvíte více o výstrahách a o tom, co dělat, když dostanete upozornění.
Zdroje – Přečtěte si další informace o upozorněních a o tom, co dělat, když dostanete upozornění.
Výběrem výstrahy otevřete stránku s podrobnostmi výstrahy.
Akce na stránce Podrobnosti výstrahy
Příklad stránky s podrobnostmi výstrahy :
Na stránce s podrobnostmi o příkladu výstrahy jsou tři akce, které můžete provést.
Zrušit předplatné – Abyste mohli tuto akci použít, musíte mít role globálního správce i agenta pro správu. Pokud vaše šetření výstrahy značí, že předplatné Azure je přeškrtnuto neoprávněnou stranou, můžete vybrat Zrušit předplatné a uvolnit všechny prostředky v předplatném Azure a označit všechna data v předplatném k odstranění po uplynutí doby uchovávání informací. Před provedením této akce doporučujeme komunikovat se zákazníkem o upozornění a pokud je to možné, získat souhlas s zrušením předplatného. Když vyberete toto tlačítko, zobrazí se následující potvrzovací stránka, abyste pochopili dopad této akce. Pokud chcete zrušit předplatné Azure, vyberte Pokračovat se zrušením . Když vyberete Pokračovat se zrušením, předplatné se zruší a všechna upozornění pro toto předplatné se označí jako Vyřešeno s důvodem podvodu.
Další informace najdete v tématu Zrušení předplatného Azure.
Správa předplatného – Akce Správa předplatného vás provede na portálu pro správu Azure pomocí správce jménem správce. Na základě úrovně přístupu, kterou vám zákazník udělil, můžete být schopni dále prozkoumat prostředky uvedené v podrobnostech výstrahy. Další informace najdete v tématu Správa předplatných a prostředků v rámci plánu Azure.
Zpět na výstrahy – vrátí vás na hlavní stránku řídicího panelu výstrah se seznamem výstrah.
Akce na stránce Upozornění
Nad seznamem upozornění na stránce Výstraha jsou dvě akce, které můžete provést.
Zrušit předplatné – Abyste mohli tuto akci použít, musíte mít role globálního správce i agenta pro správu. Pokud vaše šetření výstrahy značí, že předplatné Azure je přeškrtnuto neoprávněnou stranou, můžete vybrat Zrušit předplatné a uvolnit všechny prostředky v předplatném Azure a označit všechna data v předplatném k odstranění po uplynutí doby uchovávání informací. Před provedením této akce doporučujeme komunikovat se zákazníkem o upozornění a pokud je to možné, získat souhlas s zrušením předplatného. Po výběru tohoto tlačítka se zobrazí následující potvrzovací stránka, která vám pomůže pochopit dopad této akce. Pokud chcete zrušit předplatné Azure, vyberte Pokračovat se zrušením.
Export – Pokud chcete exportovat všechny podrobné informace o výstrahách, můžete pomocí akce Export stáhnout soubor CSV (hodnota oddělená čárkami) obsahující informace o výstraze. Poznámka: Export vytvoří soubor CSV pouze s aktuálně zobrazenými výstrahami. Upravte možnost Filtr, aby se zobrazila výstraha, kterou chcete exportovat.
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro