Partager via


Détecter les alertes de sécurité et y répondre

Rôles appropriés : Agent d’administration

S’applique à : Facturation directe de l’Espace partenaires et fournisseurs indirects

Vous pouvez vous abonner à une nouvelle alerte de sécurité pour les détections liées aux abus et aux prises de compte non autorisés. Cette alerte de sécurité est l’une des nombreuses façons dont Microsoft fournit les données dont vous avez besoin pour sécuriser les locataires de votre client. Vous pouvez vous abonner à une nouvelle alerte de sécurité pour les détections liées aux abus et aux prises de compte non autorisés. Cette alerte de sécurité est l’une des nombreuses façons dont Microsoft fournit les données dont vous avez besoin pour sécuriser les locataires de votre client.

Important

En tant que partenaire du programme fournisseur de solutions Cloud (CSP), vous êtes responsable de la consommation Azure de vos clients. Il est donc important que vous soyez conscient de toute utilisation anormale dans les abonnements Azure de votre client. Utilisez des alertes de sécurité Microsoft Azure pour détecter les modèles d’activités frauduleuses et les mauvaises utilisations dans les ressources Azure pour réduire votre exposition aux risques de transaction en ligne. Les alertes de sécurité Microsoft Azure ne détectent pas tous les types d’activités frauduleuses ou d’utilisation abusive. Il est donc essentiel d’utiliser des méthodes supplémentaires de surveillance pour détecter l’utilisation anormale dans les abonnements Azure de votre client. Pour plus d’informations, consultez Gestion des non-paiements, fraudes ou mauvaise utilisation et gestion des comptes clients.

Action requise : avec la surveillance et la sensibilisation aux signaux, vous pouvez prendre des mesures immédiates pour déterminer si le comportement est légitime ou frauduleux. Si nécessaire, vous pouvez suspendre les ressources Azure affectées ou les abonnements Azure pour atténuer un problème.

Assurez-vous que l’adresse e-mail préférée de vos agents d’administration partenaires est à jour, afin qu’ils puissent être avertis avec les contacts de sécurité.

S’abonner aux notifications d’alerte de sécurité

Vous pouvez vous abonner à différentes notifications de partenaire en fonction de votre rôle.

Les alertes de sécurité vous avertissent lorsque l’abonnement Azure de votre client affiche des activités anormales possibles.

Obtenir des alertes par e-mail

  1. Connectez-vous à l’Espace partenaires et sélectionnez Notifications (cloche).
  2. Sélectionnez Mes préférences.
  3. Définissez une adresse e-mail préférée si vous ne l’avez pas déjà fait.
  4. Définissez la langue par défaut pour la notification si vous ne l’avez pas déjà fait.
  5. Sélectionnez Modifier en regard des préférences de notification par e-mail.
  6. Cochez toutes les cases relatives aux clients dans la colonne Espace de travail. (Pour vous désabonner, désélectionnez la section transactionnelle sous l’espace de travail du client.)
  7. Cliquez sur Enregistrer.

Nous envoyons des alertes de sécurité lorsque nous détectons les activités d’alerte de sécurité ou l’utilisation incorrecte dans certains abonnements Microsoft Azure de vos clients. Il existe trois types d’e-mails :

  • Résumé quotidien des alertes de sécurité non résolues (nombre de partenaires, de clients et d’abonnements affectés par différents types d’alertes)
  • Alertes de sécurité en temps quasi réel. Pour obtenir la liste des abonnements Azure qui ont des problèmes de sécurité potentiels, consultez Obtenir des événements de fraude.
  • Notifications d’avis de sécurité en temps quasi réel. Ces notifications fournissent une visibilité sur les notifications envoyées au client lorsqu’il existe une alerte de sécurité.

fournisseur de solutions Cloud partenaires de facturation directe (CSP) peuvent voir d’autres alertes pour les activités, par exemple : utilisation anormale du calcul, exploration de données de chiffrement, utilisation d’Azure Machine Learning et notifications d’avis d’intégrité des services. fournisseur de solutions Cloud partenaires de facturation directe (CSP) peuvent voir d’autres alertes pour les activités, par exemple : utilisation anormale du calcul, exploration de données de chiffrement, utilisation d’Azure Machine Learning et notifications d’avis d’intégrité des services.

Obtenir des alertes via un webhook

Les partenaires peuvent s’inscrire à un événement webhook : azure-fraud-event-detected pour recevoir des alertes pour les événements de modification des ressources. Pour en savoir plus, consultez les événements webhook de l’Espace partenaires.

Afficher et répondre aux alertes via le tableau de bord Alertes de sécurité

Les partenaires CSP peuvent accéder au tableau de bord Alertes de sécurité de l’Espace partenaires pour détecter et répondre aux alertes. Pour plus d’informations, consultez Répondre aux événements de sécurité avec le tableau de bord Alertes de sécurité de l’Espace partenaires. Les partenaires CSP peuvent accéder au tableau de bord Alertes de sécurité de l’Espace partenaires pour détecter et répondre aux alertes. Pour plus d’informations, consultez Répondre aux événements de sécurité avec le tableau de bord Alertes de sécurité de l’Espace partenaires.

Obtenir des détails d’alerte via l’API

Utiliser la nouvelle API Alertes de sécurité Microsoft Graph (bêta)

Avantages : à compter de mai 2024, la préversion de l’API Alertes de sécurité Microsoft Graph est disponible. Cette API offre une expérience de passerelle d’API unifiée sur d’autres services Microsoft telles que l’ID Microsoft Entra, Teams et Outlook.

Exigences d’intégration : les partenaires CSP qui sont intégrés sont tenus d’utiliser la nouvelle API Bêta alertes de sécurité. Pour plus d’informations, consultez Utiliser l’API d’alerte de sécurité partenaire dans Microsoft Graph.

La version v1 de l’API Alertes de sécurité Microsoft Graph sera publiée en juillet 2024.

Cas d’usage API
Intégrer à l’API Microsoft Graph pour obtenir le jeton d’accès Obtenir l’accès pour le compte d’un utilisateur
Répertorier les alertes de sécurité pour obtenir une visibilité sur les alertes Répertorier securityAlerts
Obtenez des alertes de sécurité pour obtenir une visibilité sur une alerte spécifique en fonction de l’analyseur de requête sélectionné. Obtenir partnerSecurityAlert
Obtenir un jeton pour appeler les API de l’Espace partenaires pour obtenir des informations de référence Activer le modèle d’application sécurisé
Obtenir les informations de profil de votre organisation Obtenir un profil d’organisation
Obtenir vos informations client par ID Obtenir un client par ID
Obtenir les informations de vos revendeurs indirects d’un client par ID Obtenir les revendeurs indirects d’un client
Obtenir les informations d’abonnement du client par ID Obtenir un abonnement par ID
Mettre à jour l’état de l’alerte et résoudre en cas d’atténuation Mettre à jour partnerSecurityAlert

Prise en charge de l’API FraudEvents existante

Important

L’API des événements de fraude hérités sera déconseillée dans CY Q4 2024. Pour plus d’informations, consultez les annonces mensuelles de sécurité de l’Espace partenaires. Les partenaires CSP doivent migrer vers la nouvelle API Alertes de sécurité Microsoft Graph, qui est désormais disponible en préversion.

Pendant la période de transition, les partenaires CSP peuvent continuer à utiliser l’API FraudEvents pour obtenir des signaux de détection supplémentaires à l’aide de X-NewEventsModel. Avec ce modèle, vous pouvez obtenir de nouveaux types d’alertes à mesure qu’elles sont ajoutées au système, par exemple, l’utilisation anormale du calcul, l’exploration de données de chiffrement, l’utilisation d’Azure Machine Learning et les notifications d’avis d’intégrité des services. De nouveaux types d’alertes peuvent être ajoutés avec un avis limité, car les menaces évoluent également. Si vous utilisez une gestion spéciale via l’API pour différents types d’alertes, surveillez ces API pour les modifications suivantes :

Que faire quand vous recevez une notification d’alerte de sécurité

La liste de contrôle suivante fournit des étapes suivantes pour savoir comment procéder lorsque vous recevez une notification de sécurité.

  • Vérifiez que la notification par e-mail est valide. Lorsque nous envoyons des alertes de sécurité, elles sont envoyées à partir de Microsoft Azure, avec l’adresse e-mail : no-reply@microsoft.com. Les partenaires reçoivent uniquement la notification de Microsoft.
  • Lorsque vous êtes averti, vous pouvez également voir l’alerte par e-mail dans le portail du Centre de notifications. Sélectionnez l’icône en forme de cloche pour afficher les alertes du Centre de notifications.
  • Passez en revue les abonnements Azure. Déterminez si l’activité dans l’abonnement est légitime et attendue, ou si l’activité peut être due à des abus ou fraudes non autorisés.
  • Informez-nous de ce que vous avez trouvé, via le tableau de bord Alertes de sécurité ou à partir de l’API. Pour en savoir plus sur l’utilisation de l’API, consultez Mettre à jour l’état de l’événement de fraude. Utilisez les catégories suivantes pour décrire ce que vous avez trouvé :

Quelles autres mesures pouvez-vous prendre pour réduire le risque de compromission ?

Que devez-vous faire si un abonnement Azure a été compromis ?

Prenez des mesures immédiates pour protéger votre compte et vos données. Voici quelques suggestions et conseils pour répondre rapidement et contenir un incident potentiel afin de réduire son impact et le risque global de l’entreprise.

La correction des identités compromises dans un environnement cloud est essentielle pour garantir la sécurité globale des systèmes basés sur le cloud. Les identités compromises peuvent fournir aux attaquants l’accès aux données et ressources sensibles, ce qui en fait essentiel de prendre des mesures immédiates pour protéger le compte et les données.

Une fois les acteurs malveillants supprimés, nettoyez les ressources compromises. Gardez un œil étroit sur l’abonnement affecté pour vous assurer qu’il n’y a pas d’activité suspecte supplémentaire. Il est également judicieux d’examiner régulièrement vos journaux et pistes d’audit pour vous assurer que votre compte est sécurisé.

Empêcher la compromission de compte est plus facile que la récupération à partir de celui-ci. Par conséquent, il est important de renforcer votre posture de sécurité.

  • Passez en revue le quota sur les abonnements Azure clients et envoyez la demande pour réduire le quota inutilisé. Pour plus d’informations, consultez Réduire le quota.
  • Passez en revue et implémentez les meilleures pratiques de sécurité fournisseur de solutions Cloud.
  • Collaborez avec vos clients pour apprendre et implémenter les meilleures pratiques de sécurité des clients.
  • Assurez-vous que Defender pour le cloud est activé (il existe un niveau gratuit disponible pour ce service).
  • Assurez-vous que Defender pour le cloud est activé (il existe un niveau gratuit disponible pour ce service).

Pour plus d’informations, consultez la prise en charge de l’article.

Plus d’outils pour la supervision

Comment préparer vos clients finaux

Microsoft envoie des notifications aux abonnements Azure, qui vont à vos clients finaux. Collaborez avec votre client final pour vous assurer qu’il peut agir de manière appropriée et qu’il est averti de divers problèmes de sécurité au sein de son environnement :

  • Configurez des alertes d’utilisation avec Azure Monitor ou Azure Cost Management.
  • Configurez les alertes d’intégrité du service pour connaître d’autres notifications de Microsoft concernant la sécurité et d’autres problèmes connexes.
  • Collaborez avec l’administrateur client de votre organisation (s’il n’est pas géré par le partenaire) pour appliquer des mesures de sécurité accrues à votre locataire (voir la section suivante).

Informations supplémentaires pour la protection de votre locataire

Si vous suspectez l’utilisation non autorisée de votre abonnement Azure ou de votre client, engagez le support Microsoft Azure afin que Microsoft puisse accélérer toutes les autres questions ou préoccupations.

Si vous avez des questions spécifiques concernant l’Espace partenaires, envoyez une demande de support dans l’Espace partenaires. Pour plus d’informations : Obtenir du support dans l’Espace partenaires.

Vérifier les notifications de sécurité dans les journaux d’activité

  1. Connectez-vous à l’Espace partenaires et sélectionnez l’icône paramètres (engrenage) en haut à droite, puis sélectionnez l’espace de travail Paramètres du compte.
  2. Accédez aux journaux d’activité dans le volet gauche.
  3. Définissez les dates De et À dans le filtre supérieur.
  4. Dans Filtrer par type d’opération, sélectionnez Événement de fraude Azure détecté. Vous devriez être en mesure de voir tous les événements d’alertes de sécurité détectés pour la période sélectionnée.

Pourquoi les partenaires reçoivent-ils des alertes de sécurité Azure plus anciennes ?

Microsoft envoie des alertes de fraude Azure depuis décembre 2021. Toutefois, dans le passé, la notification d’alerte était basée sur la préférence d’adhésion uniquement, où les partenaires devaient choisir de recevoir un avis. Nous avons modifié ce comportement. Les partenaires doivent maintenant résoudre toutes les alertes de fraude (y compris les anciennes alertes) ouvertes. Pour sécuriser votre posture de sécurité et celle de vos clients, suivez les bonnes pratiques de sécurité fournisseur de solutions Cloud.

Microsoft envoie le résumé quotidien de la fraude (il s’agit du nombre de partenaires, de clients et d’abonnements affectés) s’il existe une alerte de fraude non résolue active au cours des 60 derniers jours. Microsoft envoie le résumé quotidien de la fraude (il s’agit du nombre de partenaires, de clients et d’abonnements affectés) s’il existe une alerte de fraude non résolue active au cours des 60 derniers jours.

Pourquoi ne vois-je pas toutes les alertes ?

Les notifications d’alerte de sécurité sont limitées à la détection de modèles de certaines actions anormales dans Azure. Les notifications d’alerte de sécurité ne détectent pas et ne sont pas garanties pour détecter tous les comportements anormals. Il est essentiel d’utiliser d’autres méthodes de supervision pour détecter l’utilisation anormale dans les abonnements Azure de votre client, comme les budgets mensuels de dépenses Azure. Si vous recevez une alerte significative et est un faux négatif, contactez le support partenaire et fournissez les informations suivantes :

  • ID de locataire partenaire
  • ID de locataire du client
  • ID d’abonnement
  • ID de ressource
  • Date de début et d’impact sur l’impact