Sdílet prostřednictvím

Reakce na události zabezpečení pomocí řídicího panelu Výstrahy zabezpečení

  • Článek

Příslušné role: Agent pro správu

Platí pro: Přímé vyúčtování v Partnerském centru a nepřímí poskytovatelé

Řídicí panel Výstrahy zabezpečení v Partnerském centru pomáhá partnerům rychle reagovat na zabezpečení, podvody a další události, ke kterým dochází v Partnerském centru nebo tenantovi zákazníka.

rozhraní API

Pro partnery, kteří mají více tenantů Microsoft Entra v Partnerském centru, můžete místo řídicího panelu Upozornění získat a aktualizovat upozornění pomocí následujících rozhraní API:

Požadavky

Pokud chcete použít řídicí panel Výstrah zabezpečení v Partnerském centru, musí být váš uživatelský účet přiřazený roli agenta správce.

Důležitost včasné reakce na výstrahy

Když se na řídicím panelu vytvoří upozornění, je důležité, abyste co nejdříve zmírňovali prioritu incidentu, který výstrahu způsobil. Jako hlavní princip doporučujeme reagovat na výstrahy do jedné hodiny. U výstrah typu Podvod trvá déle, než odpovíte a zmírníte incident, který výstrahu způsobil, tím větší finanční dopad může narůstal.

Přístup k řídicímu panelu výstrah zabezpečení v Partnerském centru:

  1. Přihlaste se k Partnerskému centru pomocí uživatele s rolí agenta správce.
  2. Vyberte pracovní prostor Přehledy.
  3. V levé navigační nabídce v části Zabezpečení vyberte Výstrahy.

Zobrazení upozornění

Na stránce Upozornění se zobrazí následující:

  • Nová upozornění tento týden – počet nových upozornění za posledních sedm dnů
  • Vyřešeno – počet výstrah, které jsou vyřešeny s určitým důvodem (například legitimní nebo podvod).
  • Aktivní & Probíhá – počet nevyřešených výstrah, které vyžadují pozornost.

Snímek obrazovky s upozorněními v Partnerském centru, včetně průměrné doby odezvy, nových upozornění tento týden, vyřešených a aktivních a probíhajících

V dolní části stránky upozornění jsou uvedeny výstrahy, které mají vliv na tenanta Partnerského centra, ke kterému jste přihlášení.

Snímek obrazovky se stránkou Upozornění a akcemi, které můžete provést, včetně zrušení předplatného a exportu

  • Název výstrahy – Tento název zobrazuje informace vysoké úrovně o tom, co bylo zjištěno.
  • ID předplatného – Tento identifikátor se zobrazí, když se v konkrétním předplatném Azure zjistí výstraha.
  • ID výstrahy – jedinečný identifikátor výstrahy.
  • Stav výstrahy – stav výstrahy (Aktivní nebo Vyřešeno).
  • První pozorovaný stav – při prvním zobrazení výstrahy
  • Poslední pozorovaný stav – poslední čas, kdy se výstraha zobrazila
  • Typ výstrahy – typ zjištěné aktivity a způsobil výstrahu. Existují dva typy upozornění:
    • Oznámení Azure – Tato výstraha indikuje, že se zákazníkovi ovlivněného předplatného Azure odeslala zpráva, která se zobrazila jako oznámení služby Service Health . Kopie této zprávy se zobrazí v podrobnostech výstrahy.
    • Využití Azure – Tato výstraha označuje neobvyklé zvýšení aktivity v předplatném Azure nebo neobvyklou aktivitu, ke které dochází v předplatném, například k dolování kryptografických měn.
  • Závažnost – označuje úroveň naléhavosti, kterou je třeba provést při reakci na výstrahu.

Možnost Filtr umožňuje změnit, jaké výstrahy se zobrazují na stránce Upozornění.

Hledání umožňuje hledat všechny výstrahy pro informace, které zadáte do vyhledávacího pole, a otevře stránku Upozornění . Prohledávají se následující pole:

  • ID předplatného
  • ID upozornění
  • Jméno zákazníka

Akce na stránce s podrobnostmi výstrahy

Příklad stránky s podrobnostmi výstrahy :

Pokud chcete zobrazit další podrobnosti o výstraze, vyberte název výstrahy. Například následující příklad upozornění ukazuje chování související s dolováním kryptografie, ke kterému dochází v předplatném Azure.

Snímek obrazovky zobrazující podrobnosti výstrahy související s dolováním kryptografie

V horní části stránky s podrobnostmi výstrahy se zobrazí informace o zákazníci a prodejci (pokud je k dispozici).

Popis výstrahy obsahuje přehled o tom, proč k upozornění došlo, spolu s kroky pro šetření.

V části Ovlivněné prostředky jsou uvedeny následující informace:

  • Informace o prostředcích – podrobnosti o prostředcích, které byly součástí detekce, která výstrahu způsobila. V tomto příkladu je virtuální počítač s názvem badvmtest ve skupině prostředků Testserver. Čas prvního připojení a čas posledního připojení značí, kdy jsme poprvé zjistili, že tento prostředek kontaktoval známý fond dolování, a poslední čas, kdy došlo k jeho zjištění.

  • Další informace – pokud jsou k dispozici podrobnosti o chování vystavené prostředkem, zobrazí se tady. V tomto příkladu virtuální počítač "badvmtest" komunikoval s IP adresou známého dolování fondu. V části Informace o prostředku se zobrazuje připojení k IP adrese čtyřikrát mezi časem prvního připojení a časem posledního připojení.

  • Panel akcí – Po dokončení vyšetřování výstrahy vyberte akci, která partnerskému centru sdělí, co jste zjistili. Výběrem akce označíte výstrahu Vyřešeno. Akce, kterou vyberete, označuje důvod, proč výstrahu řešíte. K dispozici jsou tyto možnosti:

    • Označit jako legitimní – prozkoumali jste prostředky a buď jste nenašli žádné důkazy o tom, co výstraha označila, nebo při kontrole u zákazníka značí, že chování se očekává.
    • Označit jako podvod – prošetřili jste prostředky a zjistili jste, že provádějí chování, které je označeno upozorněním.

  • Zdroje – pomocí odkazů v této části upozornění se dozvíte více o výstrahách a o tom, co dělat, když dostanete upozornění.

    Snímek obrazovky znázorňující příklad upozornění, kde možnosti zahrnují Označit jako legitimní nebo Označit jako podvod

  • Zdroje – Přečtěte si další informace o upozorněních a o tom, co dělat, když dostanete upozornění.

Výběrem výstrahy otevřete stránku s podrobnostmi výstrahy.

Akce na stránce Podrobnosti výstrahy

Příklad stránky s podrobnostmi výstrahy :

Snímek obrazovky zobrazující dolní část výstrahy zabezpečení s možnostmi zrušení předplatného, správy předplatného nebo zpět na výstrahy

Na stránce s podrobnostmi o příkladu výstrahy jsou tři akce, které můžete provést.

  • Zrušit předplatné – Abyste mohli tuto akci použít, musíte mít role globálního správce i agenta pro správu. Pokud vaše šetření výstrahy značí, že předplatné Azure je přeškrtnuto neoprávněnou stranou, můžete vybrat Zrušit předplatné a uvolnit všechny prostředky v předplatném Azure a označit všechna data v předplatném k odstranění po uplynutí doby uchovávání informací. Před provedením této akce doporučujeme komunikovat se zákazníkem o upozornění a pokud je to možné, získat souhlas s zrušením předplatného. Když vyberete toto tlačítko, zobrazí se následující potvrzovací stránka, abyste pochopili dopad této akce. Pokud chcete zrušit předplatné Azure, vyberte Pokračovat se zrušením . Když vyberete Pokračovat se zrušením, předplatné se zruší a všechna upozornění pro toto předplatné se označí jako Vyřešeno s důvodem podvodu.

    Snímek obrazovky s dialogovým oknem Zrušit předplatné s možnostmi: Přejít zpět a Pokračovat se zrušením

    Další informace najdete v tématu Zrušení předplatného Azure.

  • Správa předplatného – Akce Správa předplatného vás provede na portálu pro správu Azure pomocí správce jménem správce. Na základě úrovně přístupu, kterou vám zákazník udělil, můžete být schopni dále prozkoumat prostředky uvedené v podrobnostech výstrahy. Další informace najdete v tématu Správa předplatných a prostředků v rámci plánu Azure.

  • Zpět na výstrahy – vrátí vás na hlavní stránku řídicího panelu výstrah se seznamem výstrah.

Akce na stránce Upozornění

Nad seznamem upozornění na stránce Výstraha jsou dvě akce, které můžete provést.

Snímek obrazovky se stránkou Upozornění a akcemi, které můžete provést, včetně zrušení předplatného a exportu

  • Zrušit předplatné – Abyste mohli tuto akci použít, musíte mít role globálního správce i agenta pro správu. Pokud vaše šetření výstrahy značí, že předplatné Azure je přeškrtnuto neoprávněnou stranou, můžete vybrat Zrušit předplatné a uvolnit všechny prostředky v předplatném Azure a označit všechna data v předplatném k odstranění po uplynutí doby uchovávání informací. Před provedením této akce doporučujeme komunikovat se zákazníkem o upozornění a pokud je to možné, získat souhlas s zrušením předplatného. Po výběru tohoto tlačítka se zobrazí následující potvrzovací stránka, která vám pomůže pochopit dopad této akce. Pokud chcete zrušit předplatné Azure, vyberte Pokračovat se zrušením.

    Snímek obrazovky se stránkou Zrušit předplatné s možnostmi přejít zpět nebo Pokračovat se zrušením

  • Export – Pokud chcete exportovat všechny podrobné informace o výstrahách, můžete pomocí akce Export stáhnout soubor CSV (hodnota oddělená čárkami) obsahující informace o výstraze. Poznámka: Export vytvoří soubor CSV pouze s aktuálně zobrazenými výstrahami. Upravte možnost Filtr, aby se zobrazila výstraha, kterou chcete exportovat.

Další kroky

Detekce a oznámení o podvodech Azure