Partager via

Répondre aux événements de sécurité avec le tableau de bord Alertes de sécurité

  • Article

Rôles appropriés : Agent d’administration

S’applique à : Facturation directe de l’Espace partenaires et fournisseurs indirects

Le tableau de bord Alertes de sécurité de l’Espace partenaires aide les partenaires à répondre rapidement à la sécurité, à la fraude et à d’autres événements qui se produisent dans l’Espace partenaires ou le locataire de leur client.

API

Pour les partenaires disposant de plusieurs locataires Microsoft Entra de l’Espace partenaires, vous pouvez utiliser les API suivantes pour obtenir et mettre à jour des alertes au lieu d’utiliser le tableau de bord Alertes :

Prérequis

Pour utiliser le tableau de bord Alertes de sécurité de l’Espace partenaires, votre compte d’utilisateur doit être affecté au rôle d’agent d’administration.

L’importance d’une réponse en temps opportun aux alertes

Lorsqu’une alerte est créée dans votre tableau de bord, il est essentiel que vous triiez et atténuez l’incident qui a provoqué l’alerte dès que possible. En tant que principe guidant, nous vous recommandons de répondre aux alertes dans un délai d’une heure. Pour les alertes de type fraude , plus il vous faut de réponse et d’atténuation de l’incident qui a provoqué l’alerte, plus l’impact financier peut potentiellement être accumulé.

Pour accéder au tableau de bord Alertes de sécurité de l’Espace partenaires :

  1. Connectez-vous à l’Espace partenaires avec un utilisateur avec le rôle Agent d’administration.
  2. Sélectionnez l’espace de travail Insights .
  3. Dans le menu de navigation de gauche, sous Sécurité, sélectionnez Alertes.

Affichage des alertes

La page Alertes affiche les éléments suivants :

  • Nouvelles alertes cette semaine - Nombre de nouvelles alertes pour les sept derniers jours.
  • Résolu : nombre d’alertes résolues avec une raison spécifiée (par exemple, légitime ou fraude).
  • Actif &En cours : nombre d’alertes non résolues qui ont besoin d’attention.

Capture d’écran montrant l’écran Alertes de l’Espace partenaires, y compris le temps de réponse moyen, les nouvelles alertes cette semaine, résolues et actives et en cours.

La section inférieure de la page d’alerte répertorie les alertes qui affectent le locataire de l’Espace partenaires auquel vous êtes connecté.

Capture d’écran montrant la page Alertes et les actions que vous pouvez effectuer, notamment Annuler l’abonnement et l’exportation.

  • Nom de l’alerte : ce nom affiche des informations générales sur ce qui a été détecté.
  • ID d’abonnement : cet identificateur s’affiche lorsqu’une alerte est détectée dans un abonnement Azure spécifique.
  • ID d’alerte : identificateur unique de l’alerte.
  • État de l’alerte : état de l’alerte (actif ou résolu).
  • Première observation : la première fois que l’alerte a été affichée.
  • Dernière observation : heure la plus récente de l’affichage de l’alerte.
  • Type d’alerte : type d’activité détecté et provoqué l’alerte. Il existe deux types d’alertes :
    • Notifications Azure : cette alerte indique qu’un message a été envoyé au client de l’abonnement Azure concerné et affiché en tant que notification Service Health . Une copie de ce message s’affiche dans les détails de l’alerte.
    • Utilisation d’Azure : cette alerte indique une augmentation inhabituelle de l’activité dans l’abonnement Azure ou une activité anormale qui se produit dans l’abonnement, par exemple, l’exploration de devises de chiffrement.
  • Gravité : indique le niveau d’urgence qui doit être pris lors de la réponse à l’alerte.

L’option Filtre vous permet de modifier les alertes affichées sur la page Alerte.

La recherche vous permet de rechercher toutes les alertes pour les informations que vous entrez dans le champ de recherche, puis d’ouvrir la page Alerte . Les champs suivants sont recherchés :

  • ID d’abonnement
  • ID de l'alerte
  • Nom du client

Actions sur la page détails de l’alerte

Exemple de la page de détails de l’alerte :

Pour plus d’informations sur une alerte, sélectionnez le nom de l’alerte. Par exemple, l’exemple d’alerte suivant montre le comportement lié à l’exploration de données de crypto-monnaie dans un abonnement Azure.

Capture d’écran montrant les détails de l’alerte liés à l’exploration de données de crypto-monnaie.

En haut de la page de détails de l’alerte, les informations client et le revendeur (le cas échéant) s’affichent.

La description de l’alerte fournit une vue d’ensemble de la raison pour laquelle l’alerte s’est produite, ainsi que les étapes à suivre pour examiner.

La section ressources affectées affiche les informations suivantes :

  • Informations sur les ressources : détails sur les ressources impliquées dans la détection qui a provoqué l’alerte. Dans cet exemple, il existe une machine virtuelle nommée « badvmtest » dans le groupe de ressources « testserver ». L’heure de la première connexion et l’heure de la dernière connexion indiquent quand nous avons détecté cette ressource contactant un pool d’exploration de données connu et la dernière fois qu’elle a été observée.

  • Informations supplémentaires : si des détails sont disponibles sur le comportement présenté par la ressource, ils sont affichés ici. Dans cet exemple, la machine virtuelle « badvmtest » a communiqué avec l’adresse IP d’un pool d’exploration de données connu. La section Informations sur la ressource indique qu’elle est connectée à l’adresse IP quatre fois entre l’heure de la première connexion et l’heure de la dernière connexion.

  • Barre d’actions : lorsque vous terminez votre examen de l’alerte, sélectionnez une action pour indiquer à l’Espace partenaires ce que vous avez découvert. La sélection d’une action marque l’alerte résolue. L’action que vous sélectionnez indique la raison pour laquelle vous résolvez l’alerte. Les options fournies sont les suivantes :

    • Marquez comme légitime : vous avez examiné les ressources et vous n’avez trouvé aucune preuve de ce que l’alerte a indiqué ou lors de la vérification avec le client, ils indiquent que le comportement est attendu.
    • Marquer comme fraude : vous avez examiné les ressources et détecté qu’elles effectuaient le comportement indiqué par l’alerte.

  • Ressources : utilisez les liens de cette section de l’alerte pour en savoir plus sur les alertes et sur ce qu’il faut faire lorsque vous recevez une alerte.

    Capture d’écran montrant un exemple d’alerte, où les options incluent Marquer comme légitime ou Marquer comme fraude.

  • Ressources : en savoir plus sur les alertes et sur ce qu’il faut faire lorsque vous recevez une alerte.

Sélectionnez une alerte pour ouvrir la page de détails de l’alerte.

Actions sur la page Détails de l’alerte

Exemple de la page de détails de l’alerte :

Capture d’écran montrant le bas d’une alerte de sécurité, avec des options permettant d’annuler l’abonnement, de gérer l’abonnement ou de revenir aux alertes.

L’exemple de page Détails de l’alerte affiche trois actions que vous pouvez effectuer.

  • Annuler l’abonnement : vous devez disposer à la fois de rôles Administrateur général et Agent d’administration pour utiliser cette action. Si votre examen de l’alerte indique que l’abonnement Azure est dépassé par un tiers non autorisé, vous pouvez sélectionner Annuler l’abonnement pour libérer toutes les ressources de l’abonnement Azure et marquer toutes les données de l’abonnement pour suppression après la période de rétention. Avant de prendre cette action, nous vous recommandons de communiquer avec votre client sur l’alerte et, si possible, d’obtenir son consentement pour annuler l’abonnement. Lorsque vous sélectionnez ce bouton, vous voyez la page de confirmation suivante pour vous assurer que vous comprenez l’impact de cette action. Sélectionnez Continuer avec annulation pour annuler l’abonnement Azure. Lorsque vous sélectionnez Continuer avec annulation, l’abonnement est annulé et toutes les alertes de cet abonnement sont marquées Résolues avec la raison de fraude.

    Capture d’écran montrant la boîte de dialogue Annuler l’abonnement, avec les options : Revenir en arrière et Continuer avec annulation.

    Pour plus d’informations, consultez Annuler un abonnement Azure.

  • Gérer l’abonnement : l’action Gérer l’abonnement vous amène dans le portail de gestion Azure à l’aide de l’administrateur pour le compte de. En fonction du niveau d’accès accordé par le client, vous pourrez peut-être examiner plus en détail les ressources indiquées dans le détail de l’alerte. Pour plus d’informations, consultez Gérer les abonnements et les ressources dans le plan Azure.

  • Retour aux alertes : retourne à la page du tableau de bord d’alerte principal avec la liste des alertes.

Actions sur la page Alerte

Au-dessus de la liste des alertes de la page Alerte , vous pouvez effectuer deux actions.

Capture d’écran montrant la page Alertes et les actions que vous pouvez effectuer, notamment Annuler l’abonnement et l’exportation.

  • Annuler l’abonnement : vous devez disposer à la fois de rôles Administrateur général et Agent d’administration pour utiliser cette action. Si votre examen de l’alerte indique que l’abonnement Azure est dépassé par un tiers non autorisé, vous pouvez sélectionner Annuler l’abonnement pour libérer toutes les ressources de l’abonnement Azure et marquer toutes les données de l’abonnement pour suppression après la période de rétention. Avant de prendre cette action, nous vous recommandons de communiquer avec votre client sur l’alerte et, si possible, d’obtenir son consentement pour annuler l’abonnement. Après avoir sélectionné ce bouton, vous voyez la page de confirmation suivante pour vous assurer que vous comprenez l’impact de cette action. Sélectionnez Continuer avec annulation pour annuler l’abonnement Azure.

    Capture d’écran montrant la page Annuler l’abonnement, avec des options permettant de revenir en arrière ou continuer avec annulation.

  • Exporter : si vous souhaitez exporter toutes les informations détaillées sur les alertes, vous pouvez utiliser l’action Exporter pour télécharger un fichier CSV (valeur séparée par des virgules) contenant les informations d’alerte. Remarque : L’exportation produit un fichier CSV avec uniquement les alertes en cours d’affichage. Ajustez l’option Filtre pour afficher l’alerte que vous souhaitez exporter.

Contenu connexe

Détection et notification de fraude Azure