Responder a eventos de seguridad con el panel Alertas de seguridad
Roles adecuados: Agente de administración
Se aplica a: Factura directa del Centro de partners y proveedores indirectos
El panel Alertas de seguridad del Centro de partners ayuda a los partners a responder rápidamente a los eventos de seguridad, fraude y otros eventos que se producen en el Centro de partners o en el inquilino de su cliente.
API
Para los partners que tienen varios inquilinos de Microsoft Entra del Centro de partners, puede usar las siguientes API para obtener y actualizar alertas en lugar de usar el panel Alertas:
- Notificación de fraude de Azure: obtención de eventos de fraude
- Notificación de fraude de Azure: actualización del estado del evento de fraude
Requisitos previos
Para usar el panel Alertas de seguridad del Centro de partners, a la cuenta de usuario se le debe asignar el rol de agente de administración.
La importancia de la respuesta oportuna a las alertas
Cuando se crea una alerta en el panel, es fundamental evaluar y mitigar el incidente que provocó la alerta lo antes posible. Como principio rector, se recomienda responder a las alertas en un plazo de una hora. En el caso de las alertas de tipo fraude , cuanto más tiempo tarde en responder y mitigar el incidente que provocó la alerta, el mayor impacto financiero podría acumularse.
Navegación al panel de alertas
Para acceder al panel alertas de seguridad del Centro de partners:
- Inicie sesión en el Centro de partners con un usuario con el rol de agente de administración .
- Seleccione el área de trabajo Insights .
- En el menú de navegación izquierdo, en Seguridad, seleccione Alertas.
Visualización de alertas
La página Alertas muestra lo siguiente:
- Nuevas alertas esta semana : número de nuevas alertas para los últimos siete días.
- Resuelto : número de alertas que se resuelven con un motivo especificado (por ejemplo, Legítimo o Fraude).
- Activo y En curso : número de alertas sin resolver que necesitan atención.
En la sección inferior de la página de alertas se enumeran las alertas que afectan al inquilino del Centro de partners en el que ha iniciado sesión.
- Nombre de alerta: este nombre muestra información de alto nivel sobre lo que se detectó.
- Identificador de suscripción: este identificador se muestra cuando se detecta una alerta en una suscripción de Azure específica.
- Identificador de alerta: identificador único de la alerta.
- Estado de la alerta: estado de la alerta (activa o resuelta).
- Primera vez observado : la primera vez que se mostró la alerta.
- Última observación: la hora más reciente en que se mostró la alerta.
- Tipo de alerta: el tipo de actividad que se detectó y provocó la alerta. Hay dos tipos de alerta:
- Notificaciones de Azure: esta alerta indica que se envió un mensaje al cliente de la suscripción de Azure afectada y se mostró como una notificación de Service Health . En los detalles de la alerta se muestra una copia de este mensaje.
- Uso de Azure: esta alerta indica un aumento inusual de la actividad en la suscripción de Azure o una actividad anómala que se produce en la suscripción, por ejemplo, minería de moneda criptográfica.
- Gravedad : indica el nivel de urgencia que se debe tomar al responder a la alerta.
La opción Filtro permite cambiar qué alertas se muestran en la página Alerta.
La búsqueda le permite buscar todas las alertas de la información que escriba en el campo de búsqueda y abre la página Alerta . Se buscan los siguientes campos:
- Id. de suscripción
- Id. de alerta
- Nombre del cliente
Acciones en la página Detalles de alerta
Ejemplo de la página Detalles de alerta:
Para ver más detalles sobre una alerta, seleccione el nombre de la alerta. Por ejemplo, la siguiente alerta de ejemplo muestra el comportamiento relacionado con la minería de criptomoneda que se produce en una suscripción de Azure.
En la parte superior de la página Detalles de alerta, se muestra la información del cliente y el revendedor (si procede).
La descripción de la alerta proporciona información general sobre por qué se produjo la alerta junto con los pasos para investigar.
En la sección Recursos afectados se muestra la siguiente información:
Información de recursos: detalle sobre los recursos implicados en la detección que provocó la alerta. En este ejemplo, hay una máquina virtual denominada "badvmtest" en el grupo de recursos "testserver". La hora de la primera conexión y la hora de la última conexión indican cuándo se detectó por primera vez este recurso en contacto con un grupo de minería de datos conocido y la hora más reciente que se observó.
Información adicional: si hay detalles disponibles sobre el comportamiento mostrado por el recurso, se muestran aquí. En este ejemplo, la máquina virtual "badvmtest" se comunica con la dirección IP de un grupo de minería de datos conocido. La sección Información del recurso muestra que está conectada a la dirección IP cuatro veces entre la hora de la primera conexión y la hora de la última conexión.
Barra de acciones: cuando complete la investigación en la alerta, seleccione una acción para indicar al Centro de partners lo que ha descubierto. Al seleccionar una acción, se marca la alerta Resuelta. La acción que seleccione indica el motivo por el que va a resolver la alerta. Las opciones proporcionadas son:
- Marcar como legítimo : ha investigado los recursos y no ha encontrado ninguna evidencia de lo que indica la alerta o al comprobar con el cliente, indican que se espera el comportamiento.
- Marcar como fraude : ha investigado los recursos y ha encontrado que estaban realizando el comportamiento indicado por la alerta.
Recursos: use los vínculos de esta sección de la alerta para obtener más información sobre las alertas y qué hacer cuando reciba una alerta.
Recursos: obtenga más información sobre las alertas y qué hacer cuando reciba una alerta.
Seleccione una alerta para abrir la página Detalles de alerta.
Acciones en la página Detalles de alerta
Ejemplo de la página Detalles de alerta:
En la página Detalle de alerta de ejemplo se muestran tres acciones que puede realizar.
Cancelar suscripción: debe tener roles de administrador global y agente de administración para usar esta acción. Si la investigación en la alerta indica que una entidad no autorizada sobrepone la suscripción de Azure, puede seleccionar Cancelar suscripción para desasignar todos los recursos de la suscripción de Azure y marcar todos los datos de la suscripción para su eliminación después del período de retención. Antes de realizar esta acción, se recomienda comunicarse con el cliente sobre la alerta y, si es posible, obtener su consentimiento para cancelar la suscripción. Al seleccionar este botón, verá la siguiente página de confirmación para asegurarse de que comprende el impacto de esta acción. Seleccione Continuar con la cancelación para cancelar la suscripción de Azure. Al seleccionar Continuar con la cancelación, la suscripción se cancela y todas las alertas de esa suscripción se marcan como Resueltas con el motivo Fraude.
Para más información, consulte Cancelar una suscripción de Azure.
Administrar suscripción : la acción Administrar suscripción le lleva al portal de administración de Azure mediante El administrador en nombre de . En función del nivel de acceso concedido por el cliente, es posible que pueda investigar aún más los recursos indicados en detalle de la alerta. Para más información, consulte Administración de suscripciones y recursos en el plan de Azure.
Volver a las alertas: le devuelve a la página principal del Panel de alertas con la lista de alertas.
Acciones en la página Alerta
Encima de la lista de alertas de la página Alerta hay dos acciones que puede realizar.
Cancelar suscripción: debe tener roles de administrador global y agente de administración para usar esta acción. Si la investigación en la alerta indica que una entidad no autorizada sobrepone la suscripción de Azure, puede seleccionar Cancelar suscripción para desasignar todos los recursos de la suscripción de Azure y marcar todos los datos de la suscripción para su eliminación después del período de retención. Antes de realizar esta acción, se recomienda comunicarse con el cliente sobre la alerta y, si es posible, obtener su consentimiento para cancelar la suscripción. Después de seleccionar este botón, verá la siguiente página de confirmación para asegurarse de que comprende el impacto de esta acción. Seleccione Continuar con la cancelación para cancelar la suscripción de Azure.
Exportar: si desea exportar toda la información detallada sobre las alertas, puede usar la acción Exportar para descargar un archivo CSV (valor separado por comas) que contenga la información de alerta. Nota: La exportación genera un archivo CSV con solo las alertas que se están viendo actualmente. Ajuste la opción Filtro para mostrar la alerta que desea exportar.
Pasos siguientes
Comentarios
https://aka.ms/ContentUserFeedback.
Proximamente: Ao longo de 2024, retiraremos gradualmente GitHub Issues como mecanismo de comentarios sobre o contido e substituirémolo por un novo sistema de comentarios. Para obter máis información, consulte:Enviar e ver os comentarios