Reagieren auf Sicherheitsereignisse mit dem Dashboard "Sicherheitswarnungen"

  • Artikel

Geeignete Rollen: Administrator-Agent

Gilt für: Partner Center Direct Bill und indirekte Anbieter

Das Partner Center Security Alerts-Dashboard hilft Partnern, schnell auf Sicherheit, Betrug und andere Ereignisse zu reagieren, die im Partner Center oder im Mandanten des Kunden auftreten.

API

Für Partner, die über mehrere Partner Center-Microsoft Entra-Mandanten verfügen, können Sie die folgenden APIs verwenden, um Warnungen abzurufen und zu aktualisieren, anstatt das Warnungsdashboard zu verwenden:

Voraussetzungen

Um das Partner Center Security Alerts-Dashboard zu verwenden, muss Ihrem Benutzerkonto die Administrator-Agent-Rolle zugewiesen sein.

Die Bedeutung der rechtzeitigen Reaktion auf Warnungen

Wenn eine Warnung in Ihrem Dashboard erstellt wird, ist es wichtig, dass Sie den Vorfall, der die Warnung so schnell wie möglich verursacht hat, triagen und mindern. Als Leitprinzip empfehlen wir, innerhalb einer Stunde auf Warnungen zu reagieren. Bei Warnungen vom Typ "Betrug " desto länger dauert es, auf den Vorfall zu reagieren und zu mindern, der die Warnung verursacht hat, desto mehr finanzielle Auswirkungen könnten möglicherweise entstehen.

So greifen Sie auf das Partner Center Security Alerts-Dashboard zu:

  1. Melden Sie sich bei Partner Center mit einem Benutzer mit der Administrator-Agent-Rolle an .
  2. Wählen Sie den Insights-Arbeitsbereich aus.
  3. Wählen Sie im linken Navigationsmenü unter "Sicherheit" die Option "Warnungen" aus.

Anzeigen von Warnungen

Die Seite "Benachrichtigungen" zeigt Folgendes:

  • Neue Warnungen in dieser Woche – Anzahl der neuen Warnungen für die letzten sieben Tage.
  • Behoben – Anzahl der Warnungen, die mit einem angegebenen Grund aufgelöst werden (z . B. Legitim oder Betrug).
  • Aktiv und in Bearbeitung – Anzahl der nicht aufgelösten Warnungen, die Aufmerksamkeit benötigen.

Screenshot showing the Partner Center Alerts screen, including average response time, new alerts this week, resolved, and Active and In Progress.

Im unteren Abschnitt der Warnungsseite werden Warnungen aufgelistet, die sich auf den Partner Center-Mandanten auswirken, bei dem Sie angemeldet sind.

Screenshot showing the Alerts page, and actions you can take, including Cancel subscription and Export.

  • Warnungsname – Dieser Name zeigt allgemeine Informationen zu den erkannten Informationen an.
  • Abonnement-ID – Dieser Bezeichner wird angezeigt, wenn eine Warnung in einem bestimmten Azure-Abonnement erkannt wird.
  • Warnungs-ID – Der eindeutige Bezeichner für die Warnung.
  • Warnungsstatus – Der Status der Warnung (aktiv oder aufgelöst).
  • First observed – The first time the alert was displayed.
  • Zuletzt beobachtet – Die letzte Zeit, zu der die Warnung angezeigt wurde.
  • Warnungstyp – Der Typ der Aktivität, die erkannt und die Warnung verursacht hat. Es gibt zwei Warnungstypen:
    • Azure-Benachrichtigungen – Diese Warnung gibt an, dass eine Nachricht an den Kunden des betroffenen Azure-Abonnements gesendet und als Dienststatusbenachrichtigung angezeigt wurde. Eine Kopie dieser Nachricht wird in den Warnungsdetails angezeigt.
    • Azure-Nutzung – Diese Warnung zeigt entweder eine ungewöhnliche Zunahme der Aktivität im Azure-Abonnement oder eine anomaliele Aktivität im Abonnement an, z. B. Kryptowährungsmining.
  • Schweregrad – Gibt die Dringlichkeit an, die beim Reagieren auf die Warnung ergriffen werden sollte.

Mit der Option "Filter " können Sie ändern, welche Warnungen auf der Benachrichtigungsseite angezeigt werden.

Mit der Suche können Sie alle Warnungen nach den Informationen durchsuchen, die Sie im Suchfeld eingeben, und die Benachrichtigungsseite wird geöffnet. Die folgenden Felder werden durchsucht:

  • Abonnement-ID
  • Warnungs-ID
  • Kundenname

Aktionen auf der Detailseite "Warnung"

Beispiel für die Warnungsdetailseite :

Wenn Sie weitere Details zu einer Warnung anzeigen möchten, wählen Sie den Namen der Warnung aus. Die folgende Beispielwarnung zeigt z. B. das Verhalten im Zusammenhang mit dem Kryptowährungsmining in einem Azure-Abonnement.

Screenshot showing alert details.

Oben auf der Benachrichtigungsdetailseite werden die Kundeninformationen und der Wiederverkäufer (falls zutreffend) angezeigt.

Die Warnungsbeschreibung bietet einen Überblick darüber, warum die Warnung zusammen mit den Schritten zur Untersuchung aufgetreten ist.

Im Abschnitt "Betroffene Ressourcen " werden die folgenden Informationen angezeigt:

  • Ressourceninformationen – Details zu den Ressourcen, die an der Erkennung beteiligt waren, die die Warnung verursacht hat. In diesem Beispiel gibt es einen virtuellen Computer namens "badvmtest" in der Ressourcengruppe "testserver". Die Uhrzeit der ersten Verbindung und der Zeitpunkt der letzten Verbindung geben an, wann diese Ressource erkannt wurde, die einen bekannten Miningpool kontaktiert, und die letzte Zeit, zu der sie beobachtet wurde.

  • Zusätzliche Informationen – Wenn Details zum Verhalten der Ressource verfügbar sind, werden sie hier angezeigt. In diesem Beispiel kommunizierte der virtuelle Computer "badvmtest" mit der IP-Adresse eines bekannten Miningpools. Im Abschnitt "Ressourceninformationen" wird gezeigt, dass sie viermal zwischen der ersten Verbindung und der letzten Verbindung mit der IP-Adresse verbunden ist.

  • Aktionsleiste – Wenn Sie die Untersuchung der Warnung abschließen, wählen Sie eine Aktion aus, um Partner Center mitzuteilen, was Sie entdeckt haben. Wenn Sie eine Aktion auswählen, wird die Warnung aufgelöst. Die ausgewählte Aktion gibt den Grund an, warum Sie die Warnung auflösen. Die verfügbaren Optionen sind:

    • Als legitim kennzeichnen – Sie haben die Ressourcen untersucht und entweder keinen Beweis dafür gefunden, was die Warnung angegeben hat, oder bei der Überprüfung mit dem Kunden, die darauf hinweisen, dass das Verhalten erwartet wird.
    • Als Betrug kennzeichnen – Sie haben die Ressourcen untersucht und festgestellt, dass sie das Verhalten ausführen, das durch die Warnung angegeben wird.

  • Ressourcen – Verwenden Sie die Links in diesem Abschnitt der Warnung, um mehr über Warnungen zu erfahren und zu erfahren, was Sie tun müssen, wenn Sie eine Benachrichtigung erhalten.

    Screenshot showing an example of an alert, where options include Mark as legitimate or Mark as fraud.

  • Ressourcen – Erfahren Sie mehr über Warnungen und was Sie tun müssen, wenn Sie eine Benachrichtigung erhalten.

Wählen Sie eine Warnung aus, um die Detailseite "Warnung" zu öffnen.

Aktionen auf der Seite "Warnungsdetails"

Beispiel für die Warnungsdetailseite :

Screenshot showing the bottom of a security alert, with options to Cancel subscription, manage subscription, or Back to Alerts.

Die Beispielseite "Warnungsdetails" zeigt drei Aktionen an, die Sie ausführen können.

  • Abonnement kündigen – Sie müssen über die Rollen "Globaler Administrator" und "Administrator-Agent " verfügen, um diese Aktion zu verwenden. Wenn Ihre Untersuchung in der Warnung darauf hinweist, dass das Azure-Abonnement von einer nicht autorisierten Partei überholt wird, können Sie "Abonnement kündigen" auswählen, um alle Ressourcen im Azure-Abonnement zu verwalten und alle Daten im Abonnement nach dem Aufbewahrungszeitraum für die Löschung zu markieren. Bevor Sie diese Aktion ergreifen, empfehlen wir, mit Ihrem Kunden über die Warnung zu kommunizieren und, falls möglich, seine Zustimmung zum Kündigen des Abonnements zu erhalten. Wenn Sie diese Schaltfläche auswählen, wird die folgende Bestätigungsseite angezeigt, um sicherzustellen, dass Sie die Auswirkungen dieser Aktion verstehen. Wählen Sie "Weiter" aus, um das Azure-Abonnement zu kündigen. Wenn Sie "Mit Kündigung fortfahren" auswählen, wird das Abonnement storniert, und alle Benachrichtigungen für dieses Abonnement werden mit dem Grund "Betrug behoben" gekennzeichnet.

    Screenshot showing the Cancel subscription dialog, with options: Go back and Continue with cancellation.

    Weitere Informationen finden Sie unter Kündigen eines Azure-Abonnements.

  • Abonnement verwalten – Die Aktion "Abonnement verwalten" führt Sie mithilfe von "Administrator im Auftrag von" in das Azure-Verwaltungsportal. Basierend auf der Zugriffsebene, die Ihnen vom Kunden gewährt wurde, können Sie die im Warnungsdetail angegebenen Ressourcen möglicherweise weiter untersuchen. Weitere Informationen finden Sie unter "Verwalten von Abonnements und Ressourcen" im Azure-Plan.

  • Zurück zu Warnungen – Gibt Sie mit der Liste der Warnungen zur Standard Warnungsdashboard-Seite zurück.

Aktionen auf der Benachrichtigungsseite

Über der Warnungsliste auf der Benachrichtigungsseite befinden sich zwei Aktionen, die Sie ausführen können.

Screenshot showing the Alerts page, and actions you can take, including Cancel subscription and Export.

  • Abonnement kündigen – Sie müssen über die Rollen "Globaler Administrator" und "Administrator-Agent " verfügen, um diese Aktion zu verwenden. Wenn Ihre Untersuchung in der Warnung darauf hinweist, dass das Azure-Abonnement von einer nicht autorisierten Partei überholt wird, können Sie "Abonnement kündigen" auswählen, um alle Ressourcen im Azure-Abonnement zu verwalten und alle Daten im Abonnement nach dem Aufbewahrungszeitraum für die Löschung zu markieren. Bevor Sie diese Aktion ergreifen, empfehlen wir, mit Ihrem Kunden über die Warnung zu kommunizieren und, falls möglich, seine Zustimmung zum Kündigen des Abonnements zu erhalten. Nachdem Sie diese Schaltfläche ausgewählt haben, wird die folgende Bestätigungsseite angezeigt, um sicherzustellen, dass Sie die Auswirkungen dieser Aktion verstehen. Wählen Sie "Weiter" aus, um das Azure-Abonnement zu kündigen.

    Screenshot showing the Cancel subscription page, with options to Go Back or Continue with Cancellation.

  • Export – Wenn Sie alle detaillierten Informationen zu den Warnungen exportieren möchten, können Sie die Exportaktion verwenden, um eine CSV-Datei (durch Trennzeichen getrennte Werte) mit den Warnungsinformationen herunterzuladen. Hinweis: Beim Export wird eine CSV-Datei mit nur den aktuell angezeigten Warnungen erzeugt. Passen Sie die Filteroption an, um die Warnung anzuzeigen, die Sie exportieren möchten.

Nächste Schritte

Azure-Betrugserkennung und -benachrichtigung.