Erkennen von und Reagieren auf Sicherheitswarnungen

Geeignete Rollen: Administrator-Agent

Gilt für: Partner Center Direct Bill und indirekte Anbieter

Ab Mai 2023 können Sie eine neue Sicherheitswarnung für Erkennungen im Zusammenhang mit unbefugtem Missbrauch und Kontoübernahmen abonnieren. Diese Sicherheitswarnung ist eine der vielen Möglichkeiten, wie Microsoft die Daten bereitstellt, die Sie zum Sichern der Mandanten Ihres Kunden benötigen.

Wichtig

Als Partner im Cloud Solution Provider (CSP)-Programm sind Sie für den Azure-Verbrauch Ihrer Kunden verantwortlich, daher ist es wichtig, dass Sie sich über eine ungewöhnliche Nutzung in den Azure-Abonnements Ihres Kunden bewusst sind. Verwenden Sie Microsoft Azure-Sicherheitswarnungen, um Muster betrügerischer Aktivitäten und Missbrauch in Azure-Ressourcen zu erkennen, um Ihre Gefährdung durch Onlinetransaktionsrisiken zu verringern. Microsoft Azure-Sicherheitswarnungen erkennen nicht alle Arten von betrügerischen Aktivitäten oder Missbrauch, daher ist es wichtig, dass Sie zusätzliche Überwachungsmethoden verwenden, um die anomaliele Nutzung in den Azure-Abonnements Ihres Kunden zu erkennen. Weitere Informationen finden Sie unter Verwalten von Nichtzahlung, Betrug oder Missbrauch und Verwalten von Kundenkonten.

Aktion erforderlich: Mit Überwachung und Signalbewusstsein können Sie sofortige Maßnahmen ergreifen, um festzustellen, ob das Verhalten legitim oder betrügerisch ist. Bei Bedarf können Sie betroffene Azure-Ressourcen oder Azure-Abonnements aussetzen, um ein Problem zu beheben.

Stellen Sie sicher, dass die bevorzugte E-Mail-Adresse für Ihre Partneradministrator-Agents auf dem neuesten Stand ist, damit sie zusammen mit den Sicherheitskontakten benachrichtigt werden können.

Abonnieren von Sicherheitsbenachrichtigungen

Sie können verschiedene Partnerbenachrichtigungen basierend auf Ihrer Rolle abonnieren.

Sicherheitswarnungen benachrichtigen Sie, wenn das Azure-Abonnement Ihres Kunden mögliche anomalien Aktivitäten anzeigt.

Erhalten von Benachrichtigungen per E-Mail

1. Melden Sie sich beim Partner Center an, und wählen Sie Benachrichtigungen (Bell) aus.
2. Wählen Sie Meine Einstellungen aus.
3. Legen Sie eine bevorzugte E-Mail-Adresse fest, wenn Sie dies noch nicht getan haben.
4. Legen Sie die bevorzugte Sprache für die Benachrichtigung fest, wenn Sie dies noch nicht getan haben.
5. Wählen Sie "Bearbeiten " neben den E-Mail-Benachrichtigungseinstellungen aus.
6. Aktivieren Sie alle Kontrollkästchen für Kunden in der Spalte "Arbeitsbereich ". (Um das Abonnement abbestellen zu können, heben Sie die Auswahl des Abschnitts "Transaktion" unter "Kundenarbeitsbereich" auf.)
7. Wählen Sie Speichern.

Wir senden Sicherheitswarnungen, wenn wir mögliche Sicherheitswarnungsaktivitäten oder Missbrauch in einigen Microsoft Azure-Abonnements Ihrer Kunden erkennen. Es gibt drei Arten von E-Mails:

• Tägliche Zusammenfassung von nicht aufgelösten Sicherheitswarnungen (Anzahl der Partner, Kunden und Abonnements, die von verschiedenen Warnungstypen betroffen sind)
• Sicherheitswarnungen in Echtzeit. Eine Liste der Azure-Abonnements mit potenziellen Sicherheitsbedenken finden Sie unter "Betrugsereignisse abrufen".
• Fast Echtzeit-Sicherheitsempfehlungsbenachrichtigungen. Diese Benachrichtigungen bieten Einblicke in die Benachrichtigungen, die an den Kunden gesendet werden, wenn eine Sicherheitswarnung vorhanden ist.

CSP direct bill partners can see more alerts for activities, for example: anomalous compute usage, crypto mining, Azure Machine Learning usage and service health advisory notifications.

Abrufen von Warnungen über einen Webhook

Ab Januar 2023 können Partner sich bei einem Webhook-Ereignis registrieren: azure-fraud-event-detected um Warnungen für Ressourcenänderungsereignisse zu erhalten. Weitere Informationen finden Sie unter Partner Center-Webhook-Ereignisse.

Anzeigen und Beantworten von Warnungen über das Dashboard "Sicherheitswarnungen"

Ab Mai 2023 können CSP-Partner auf das Partner Center Security Alerts-Dashboard zugreifen, um Warnungen zu erkennen und darauf zu reagieren. Weitere Informationen finden Sie unter Reagieren auf Sicherheitsereignisse mit dem Partner Center Security Alerts-Dashboard.

Abrufen von Warnungsdetails über API

Ab Mai 2023 können CSP-Partner die FraudEvents-API verwenden, um zusätzliche Erkennungssignale mit X-NewEventsModel zu erhalten. Mit diesem Modell können Sie neue Arten von Warnungen erhalten, wenn sie dem System hinzugefügt werden, z. B. anomale Computenutzung, Krypto-Mining, Azure Machine Learning-Nutzungs- und Dienstintegritätsbenachrichtigungen. Neue Arten von Warnungen können mit eingeschränkter Benachrichtigung hinzugefügt werden, da Sich Bedrohungen ebenfalls entwickeln. Wenn Sie eine spezielle Behandlung über die API für verschiedene Warnungstypen verwenden, überwachen Sie diese APIs auf Änderungen:

• Abrufen von Betrugsereignissen
• Aktualisieren des Status des Betrugsereignisses

Was zu tun ist, wenn Sie eine Sicherheitsbenachrichtigung erhalten

Die folgende Checkliste enthält vorschläge für die nächsten Schritte, die Sie tun müssen, wenn Sie eine Sicherheitsbenachrichtigung erhalten.

• Überprüfen Sie, ob die E-Mail-Benachrichtigung gültig ist. Wenn wir Sicherheitswarnungen senden, werden sie von Microsoft Azure mit der E-Mail-Adresse gesendet: no-reply@microsoft.com. Partner erhalten nur Benachrichtigungen von Microsoft.
• Wenn Sie benachrichtigt werden, können Sie auch die E-Mail-Benachrichtigung im Info-Center-Portal sehen. Wählen Sie das Glockensymbol aus, um die Info-Center-Benachrichtigungen anzuzeigen.
• Überprüfen Sie die Azure-Abonnements. Ermitteln Sie, ob die Aktivität im Abonnement legitim und erwartet ist oder ob die Aktivität auf unbefugten Missbrauch oder Betrug zurückzuführen sein könnte.
• Lassen Sie uns wissen, was Sie gefunden haben, entweder über das Dashboard für Sicherheitswarnungen oder über die API. Weitere Informationen zur Verwendung der API finden Sie unter Aktualisieren des Status des Betrugsereignisses. Verwenden Sie die folgenden Kategorien, um zu beschreiben, was Sie gefunden haben:
  • Legitim - Die Aktivität wird erwartet oder ein falsch positives Signal.
  • Betrug - Die Aktivität ist auf unbefugten Missbrauch oder Betrug zurückzuführen.
  • Ignorieren – Die Aktivität ist eine ältere Warnung und sollte ignoriert werden. Weitere Informationen finden Sie unter Warum erhalten Partner ältere Sicherheitswarnungen?.

Welche zusätzlichen Schritte können Sie ergreifen, um das Risiko einer Kompromittierung zu verringern?

• Aktivieren Sie die mehrstufige Authentifizierung (MFA) für Ihre Kunden- und Partnermandanten. Konten mit Berechtigungen zum Verwalten der Azure-Abonnements von Kunden müssen MFA-konform sein. Weitere Informationen finden Sie unter bewährte Methoden für die Sicherheit von Cloud-Lösungsanbietern und bewährte Methoden für die Kundensicherheit.
• Richten Sie Warnungen ein, um Ihre Azure-Zugriffsberechtigungen für die rollenbasierte Zugriffssteuerung (RBAC) für die Azure-Abonnements von Kunden zu überwachen. Weitere Informationen finden Sie unter Azure-Plan – Verwalten von Abonnements und Ressourcen.
  • Überwachen von Berechtigungsänderungen für die Azure-Abonnements Ihrer Kunden. Überprüfen Sie das Azure Monitor-Aktivitätsprotokoll für azure-abonnementbezogene Aktivitäten.
• Überprüfen Sie Die Ausgabenanomalien im Vergleich zu Ihrem Ausgabenbudget in Azure-Kostenverwaltung.
• Schulen und arbeiten Sie mit den Kunden zusammen, um das nicht verwendete Kontingent zu reduzieren, um den für das Azure-Abonnement zulässigen Schaden zu verhindern: Übersicht über Kontingente – Azure-Kontingente.
  • Senden einer Anforderung zum Verwalten des Azure-Kontingents: Erstellen einer Azure-Support Anforderung – Azure-Support ierbarkeit
  • Überprüfen der aktuellen Kontingentnutzung: Referenz zur Azure-Kontingent-REST-API
  • Wenn Sie kritische Workloads ausführen, die eine hohe Kapazität erfordern, sollten Sie die Reservierung von On-Demand-Kapazität oder azure reservierte Instanzen virtueller Computer in Betracht ziehen.

Was sollten Sie tun, wenn ein Azure-Abonnement kompromittiert wurde?

Ergreifen Sie sofortige Maßnahmen, um Ihr Konto und Ihre Daten zu schützen. Hier finden Sie einige Vorschläge und Tipps, um schnell zu reagieren und einen potenziellen Vorfall zu enthalten, um die Auswirkungen und das allgemeine Geschäftsrisiko zu reduzieren.

Die Behebung kompromittierter Identitäten in einer Cloudumgebung ist entscheidend, um die Gesamtsicherheit von cloudbasierten Systemen sicherzustellen. Kompromittierte Identitäten können Angreifern Zugriff auf vertrauliche Daten und Ressourcen bieten, wodurch es wichtig ist, sofortige Maßnahmen zum Schutz des Kontos und der Daten zu ergreifen.

• Anmeldeinformationen sofort ändern für:

  • Mandantenadministratoren und RBAC-Zugriff auf Azure-Abonnements Was ist die rollenbasierte Zugriffssteuerung (Azure RBAC)?
  • Folgen Sie den Kennwortanweisungen. Empfehlungen für Kennwortrichtlinien
  • Sicherstellen, dass alle Mandantenadministratoren und RBAC-Besitzer MFA registriert und erzwungen haben

• Überprüfen und überprüfen Sie alle E-Mails und Telefonnummern der globalen Administratorkennwortwiederherstellung innerhalb der Microsoft Entra-ID. Aktualisieren Sie sie bei Bedarf. Empfehlungen für Kennwortrichtlinien

• Überprüfen Sie im Azure-Portal, welche Benutzer, Mandanten und Abonnements gefährdet sind.

  • Untersuchen Sie das Risiko, indem Sie zu Microsoft Entra ID wechseln, um die Risikoberichte von Identity Protection zu überprüfen. Weitere Informationen finden Sie unter "Untersuchen des Risikos von Microsoft Entra ID Protection"
  • Lizenzanforderungen für Identitätsschutz
  • Beheben von Risiken und Aufheben der Blockierung von Benutzern
  • Benutzererfahrungen mit Microsoft Entra ID Protection

• Überprüfen Sie die Microsoft Entra-Anmeldeprotokolle beim Kundenmandanten, um ungewöhnliche Anmeldemuster zu sehen, wenn die Sicherheitswarnung ausgelöst wird.

Nachdem böswillige Akteure entfernt wurden, sauber die kompromittierten Ressourcen. Behalten Sie das betroffene Abonnement im Auge, um sicherzustellen, dass keine weiteren verdächtigen Aktivitäten vorhanden sind. Außerdem empfiehlt es sich, ihre Protokolle und Überwachungspfade regelmäßig zu überprüfen, um sicherzustellen, dass Ihr Konto sicher ist.

• Überprüfen Sie im Azure-Aktivitätsprotokoll nach nicht autorisierten Aktivitäten, z. B. Änderungen an unserer Abrechnung, der Nutzung für nicht berechnete Kommerzielle Verbrauchspositionen oder Konfigurationen.
• Überprüfen Sie Die Ausgabenanomalien im Vergleich zum Ausgabenbudget des Kunden in Azure-Kostenverwaltung.
• Deaktivieren oder Löschen von kompromittierten Ressourcen:
  • Identifizieren und entfernen Sie den Bedrohungsakteur: Verwenden Sie Microsoft- und Azure-Sicherheitsressourcen, um die Wiederherstellung von systemischen Identitätskompromittierungen zu erleichtern.
  • Überprüfen Sie alle Änderungen auf Abonnementebene im Azure-Aktivitätsprotokoll .
  • Verlagern und entfernen Sie alle Ressourcen, die von nicht autorisierten Parteien erstellt wurden. Schauen Sie sich an, wie Sie Ihr Azure-Abonnement sauber behalten | Azure Tipps und Tricks (Video)
  • Sie können die Azure-Abonnements der Kunden über die API (Kündigen einer Azure-Berechtigung) oder über das Partner Center-Portal kündigen.
  • Wenden Sie sich sofort an Azure-Support, und melden Sie den Vorfall
  • Bereinigen des Speichers nach dem Ereignis: Suchen und Löschen nicht angefügter, von Azure verwalteter und nicht verwalteter Datenträger – Virtuelle Azure-Computer

Das Verhindern der Kontokompromittierung ist einfacher als das Wiederherstellen. Daher ist es wichtig, Ihren Sicherheitsstatus zu stärken.

• Überprüfen Sie das Kontingent für die Azure-Kundenabonnements, und übermitteln Sie die Anforderung, um das nicht verwendete Kontingent zu reduzieren. Weitere Informationen finden Sie unter "Kontingent reduzieren".
• Überprüfen und Implementieren der bewährten Methoden für Cloud-Lösungsanbieter.
• Arbeiten Sie mit Ihren Kunden zusammen, um die bewährten Methoden für die Kundensicherheit zu erlernen und zu implementieren.
• Stellen Sie sicher, dass Defender für Cloud aktiviert ist (Für diesen Dienst steht eine kostenlose Stufe zur Verfügung).

Weitere Informationen finden Sie im Artikelsupport.

Weitere Tools für die Überwachung

• Einrichten von Warnungen aus dem Azure-Portal
• Festlegen eines Azure-Ausgabenbudgets für Kunden

Vorbereiten Ihrer Endkunden

Microsoft sendet Benachrichtigungen an Azure-Abonnements, die zu Ihren Endbenutzern wechseln. Arbeiten Sie mit Ihrem Endkunden zusammen, um sicherzustellen, dass sie angemessen handeln können und auf verschiedene Sicherheitsprobleme in ihrer Umgebung aufmerksam gemacht werden:

• Richten Sie Nutzungswarnungen mit Azure Monitor oder Azure Cost Management ein.
• Richten Sie Dienstintegritätswarnungen ein, um andere Benachrichtigungen von Microsoft über Sicherheit und andere verwandte Probleme zu beachten.
• Arbeiten Sie mit dem Mandantenadministrator Ihrer Organisation zusammen (wenn dies nicht vom Partner verwaltet wird), um erhöhte Sicherheitsmaßnahmen für Ihren Mandanten durchzusetzen (siehe den folgenden Abschnitt).

Zusätzliche Informationen zum Schutz Ihres Mandanten

• Überprüfen und Implementieren von bewährten Methoden für betriebliche Sicherheit für Ihre Azure-Ressourcen.

• Erzwingen Sie die mehrstufige Authentifizierung , um Ihren Identitätssicherheitsstatus zu stärken.

• Implementieren Sie Risikorichtlinien und Warnungen für Benutzer mit hohem Risiko und Anmeldungen: Was ist Microsoft Entra ID Protection?.

Wenn Sie vermuten, dass sie nicht autorisierte Nutzung Ihres Azure-Abonnements oder Ihres Kunden verwenden, wenden Sie sich an den Microsoft Azure-Support , damit Microsoft andere Fragen oder Bedenken beschleunigen kann.

Wenn Sie spezielle Fragen zum Partner Center haben, senden Sie eine Supportanfrage im Partner Center. Weitere Informationen: Erhalten Sie Support im Partner Center.

Überprüfen von Sicherheitsbenachrichtigungen unter Aktivitätsprotokollen

1. Melden Sie sich beim Partner Center an, und wählen Sie das Zahnradsymbol in der oberen rechten Ecke aus, und wählen Sie dann den Arbeitsbereich " Kontoeinstellungen" aus.
2. Navigieren Sie im linken Bereich zu Aktivitätsprotokollen .
3. Legen Sie die Datumsangaben von "Von" und "An " im oberen Filter fest.
4. Wählen Sie unter "Nach Vorgangstyp filtern" die Option "Azure Fraud Event Detected" aus. Sie sollten in der Lage sein, alle Sicherheitswarnungsereignisse anzuzeigen, die für den ausgewählten Zeitraum erkannt wurden.

Warum erhalten Partner ältere Azure-Sicherheitswarnungen?

Microsoft sendet seit Dezember 2021 Azure Betrugswarnungen. In der Vergangenheit basiert die Warnungsbenachrichtigung jedoch nur auf der Opt-In-Einstellung, bei der Partner sich für den Empfang von Benachrichtigungen entscheiden mussten. Wir haben dieses Verhalten geändert. Partner sollten jetzt alle Betrugswarnungen (einschließlich alter Warnungen) beheben, die geöffnet sind. Befolgen Sie die bewährten Methoden für die Sicherheit ihres Cloud-Lösungsanbieters, um den Sicherheitsstatus Ihrer Kunden zu sichern.

Microsoft sendet die tägliche Betrugszusammenfassung (dies ist die Anzahl der Partner, Kunden und Abonnements betroffen), wenn innerhalb der letzten 60 Tage eine aktive, nicht aufgelöste Betrugswarnung vorhanden ist.

Warum werden nicht alle Warnungen angezeigt?

Sicherheitswarnungsbenachrichtigungen sind auf das Erkennen von Mustern bestimmter anomalien Aktionen in Azure beschränkt. Sicherheitswarnungsbenachrichtigungen erkennen nicht und sind nicht garantiert, alle anomalien Verhaltensweisen zu erkennen. Es ist wichtig, dass Sie andere Überwachungsmethoden verwenden, um eine anomaliele Nutzung in den Azure-Abonnements Ihres Kunden zu erkennen, z. B. monatliche Azure-Ausgabenbudgets. Wenn Sie eine Benachrichtigung erhalten, die signifikant ist und falsch negativ ist, wenden Sie sich an den Partnersupport und geben Sie die folgenden Informationen an:

• Partnermandanten-ID
• Mandanten-ID des Kunden
• Abonnement-ID
• Ressourcen-ID
• Auswirkungen auf Anfangs- und Auswirkungsendetermine

Nächste Schritte

• Integration in die API für Sicherheitswarnungen und Registrieren eines Webhooks.