Megosztás a következőn keresztül:


A biztonsági riasztások észlelése és a riasztásokra való válaszadás

Megfelelő szerepkörök: Rendszergazdai ügynök

A következőkre vonatkozik: Partnerközpont – közvetlen számla és közvetett szolgáltatók

Feliratkozhat egy új biztonsági riasztásra a jogosulatlan féllel való visszaéléssel és a fiókátvételekkel kapcsolatos észlelésekhez. Ez a biztonsági riasztás egyike annak a számos módszernek, ahányszor a Microsoft biztosítja az ügyfél bérlőinek védelméhez szükséges adatokat. Feliratkozhat egy új biztonsági riasztásra a jogosulatlan féllel való visszaéléssel és a fiókátvételekkel kapcsolatos észlelésekhez. Ez a biztonsági riasztás egyike annak a számos módszernek, ahányszor a Microsoft biztosítja az ügyfél bérlőinek védelméhez szükséges adatokat.

Fontos

A Felhőszolgáltató (CSP) program partnereként Ön a felelős az ügyfelek Azure-használatáért, ezért fontos, hogy tisztában legyen az ügyfél Azure-előfizetéseiben előforduló rendellenes használattal. A Microsoft Azure biztonsági riasztásaival észlelheti a csalárd tevékenységek mintáit és az Azure-erőforrásokban való visszaélést az online tranzakciók kockázatainak való kitettség csökkentése érdekében. A Microsoft Azure biztonsági riasztásai nem észlelnek minden típusú hamis tevékenységet vagy visszaélést, ezért fontos, hogy további monitorozási módszereket használjon az ügyfél Azure-előfizetéseiben előforduló rendellenes használat észleléséhez. További információ: A nemfizetés, a csalás vagy a visszaélés kezelése és az ügyfélfiókok kezelése.

Szükséges művelet: A figyeléssel és a jeltudatos működéssel azonnal megállapíthatja, hogy a viselkedés jogszerű vagy hamis-e. Szükség esetén felfüggesztheti az érintett Azure-erőforrásokat vagy Azure-előfizetéseket a probléma megoldásához.

Győződjön meg arról, hogy a partneradminisztrátori ügynökök által előnyben részesített e-mail-cím naprakész, így azok a biztonsági partnerekkel együtt értesíthetők.

Feliratkozás biztonsági riasztási értesítésekre

A szerepköre alapján különböző partnerértesítésekre iratkozhat fel.

A biztonsági riasztások értesítik, ha az ügyfél Azure-előfizetésében lehetséges rendellenes tevékenységek láthatók.

Riasztások lekérése e-mailben

  1. Jelentkezzen be a Partnerközpontba, és válassza az Értesítések (harang) lehetőséget.
  2. Válassza a Saját beállítások lehetőséget.
  3. Ha még nem tette meg, adjon meg egy előnyben részesített e-mail-címet.
  4. Ha még nem tette meg, állítsa be az értesítés kívánt nyelvét.
  5. Válassza a Szerkesztés lehetőséget az E-mail értesítési beállítások mellett.
  6. Jelölje be az ügyfelekre vonatkozó összes jelölőnégyzetet a Munkaterület oszlopban. (A leiratkozáshoz törölje a tranzakciós szakasz kijelölését az ügyfél-munkaterület alatt.)
  7. Válassza a Mentés lehetőséget.

Biztonsági riasztásokat küldünk, ha észleljük a lehetséges biztonsági riasztási tevékenységeket vagy az ügyfelek Microsoft Azure-előfizetéseiben való visszaélést. Az e-maileknek három típusa van:

  • A megoldatlan biztonsági riasztások napi összegzése (a különböző riasztástípusok által érintett partnerek, ügyfelek és előfizetések száma)
  • Közel valós idejű biztonsági riasztások. A potenciális biztonsági problémákkal rendelkező Azure-előfizetések listájának lekéréséhez tekintse meg a csalási események lekérése című témakört.
  • Közel valós idejű biztonsági tanácsadási értesítések. Ezek az értesítések betekintést nyújtanak az ügyfélnek biztonsági riasztás esetén küldött értesítésekbe.

Felhőszolgáltató (CSP) közvetlen számlapartnerek további riasztásokat láthatnak a tevékenységekről, például: rendellenes számítási használat, kriptobányászat, Azure Machine Learning-használat és szolgáltatásállapot-tanácsadási értesítések. Felhőszolgáltató (CSP) közvetlen számlapartnerek további riasztásokat láthatnak a tevékenységekről, például: rendellenes számítási használat, kriptobányászat, Azure Machine Learning-használat és szolgáltatásállapot-tanácsadási értesítések.

Riasztások lekérése webhookon keresztül

A partnerek regisztrálhatnak egy webhookeseményre: azure-fraud-event-detected riasztásokat kaphatnak az erőforrás-változási eseményekről. További információ: Partnerközpont webhookesemények.

Riasztások megtekintése és megválaszolása a Biztonsági riasztások irányítópulton

A CSP-partnerek hozzáférhetnek a Partnerközpont biztonsági riasztásai irányítópulthoz a riasztások észleléséhez és megválaszolásához. További információ: Válasz a biztonsági eseményekre a Partnerközpont biztonsági riasztások irányítópultjával. A CSP-partnerek hozzáférhetnek a Partnerközpont biztonsági riasztásai irányítópulthoz a riasztások észleléséhez és megválaszolásához. További információ: Válasz a biztonsági eseményekre a Partnerközpont biztonsági riasztások irányítópultjával.

Riasztás részleteinek lekérése az API-val

Az új Microsoft Graph Biztonsági riasztások API használata (bétaverzió)

Előnyök: 2024 májusától elérhető a Microsoft Graph Security Alerts API előzetes verziója. Ez az API egységes API-átjárót biztosít más Microsoft-szolgáltatások, például a Microsoft Entra ID, a Teams és az Outlook számára.

Előkészítési követelmények: Az előkészítést végző CSP-partnereknek az új biztonsági riasztások béta API-jának használatához van szükség. További információ: A partnerbiztonsági riasztási API használata a Microsoft Graphban.

A Microsoft Graph Security Alerts API V1 verziója 2024 júliusában jelenik meg.

Használati eset API-k
Bevezetés a Microsoft Graph API-ba az Access Token lekéréséhez Hozzáférés kérése egy felhasználó nevében
Biztonsági riasztások listázása a riasztások láthatóságának biztosításához SecurityAlerts listázása
Kérje le a biztonsági riasztásokat, hogy a kiválasztott lekérdezési paraméter alapján betekintést kapjon egy adott riasztásba. PartnerSecurityAlert lekérése
Jogkivonat lekérése a Partnerközpont API-k meghívásához referenciainformációkért Biztonságos alkalmazásmodell engedélyezése
A szervezeti profil adatainak lekérése Szervezeti profil lekérése
Ügyféladatok lekérése azonosító alapján Ügyfél lekérése azonosító alapján
Ügyfél közvetett viszonteladói adatainak lekérése azonosító alapján Ügyfél közvetett viszonteladóinak lekérése
Az ügyfél előfizetési adatainak lekérése azonosító alapján Előfizetés lekérése azonosító alapján
Riasztás állapotának frissítése és feloldása enyhítéskor PartnerSecurityAlert frissítése

A meglévő FraudEvents API támogatása

Fontos

Az örökölt csalási események API 2024 negyedik negyedévében megszűnik. További részletekért tekintse meg a partnerközpont havi biztonsági közleményeit. A CSP-partnereknek át kell költöznie az új Microsoft Graph Security Alerts API-ra, amely már előzetes verzióban érhető el.

Az átmeneti időszakban a CSP-partnerek továbbra is használhatják a FraudEvents API-t további észlelési jelek lekéréséhez az X-NewEventsModel használatával. Ezzel a modellel új típusú riasztásokat kaphat, amikor hozzáadják őket a rendszerhez, például rendellenes számítási használatot, kriptobányászatot, Azure Machine Learning-használatot és szolgáltatásállapot-tanácsadási értesítéseket. Az új típusú riasztások korlátozott értesítéssel vehetők fel, mivel a fenyegetések is fejlődnek. Ha az API-val speciális kezelést használ a különböző riasztástípusokhoz, figyelje az alábbi API-kat a módosításokhoz:

Mi a teendő, ha biztonsági riasztási értesítést kap?

Az alábbi ellenőrzőlista a biztonsági értesítések érkezésekor javasolt következő lépéseket ismerteti.

  • Ellenőrizze, hogy az e-mail-értesítés érvényes-e. Biztonsági riasztások küldésekor a rendszer a Microsoft Azure-ból küldi őket a következő e-mail-címmel: no-reply@microsoft.com. A partnerek csak a Microsofttól kapnak értesítést.
  • Ha értesítést kap, az e-mail-riasztás a Műveletközpont portálján is megjelenik. Válassza a harang ikont a Műveletközpont riasztásainak megtekintéséhez.
  • Tekintse át az Azure-előfizetéseket. Állapítsa meg, hogy az előfizetésben lévő tevékenység jogos és elvárt-e, vagy hogy a tevékenység jogosulatlan visszaélés vagy csalás következménye lehet-e.
  • Tudassa velünk, hogy mit talált a Biztonsági riasztások irányítópulton vagy az API-ból. Az API használatáról további információt a csalási események állapotának frissítése című témakörben talál. A talált adatok leírását az alábbi kategóriákban találja:
    • Legitim – A tevékenység várható vagy hamis pozitív jelzés.
    • Csalás – A tevékenység jogosulatlan visszaélés vagy csalás következménye.
    • Figyelmen kívül hagyás – A tevékenység régebbi riasztás, ezért figyelmen kívül kell hagyni. További információ: Miért kapnak a partnerek régebbi biztonsági riasztásokat?

Milyen további lépéseket tehet a kompromisszum kockázatának csökkentése érdekében?

Mi a teendő, ha egy Azure-előfizetést feltörtek?

Azonnal intézkedhet a fiók és az adatok védelme érdekében. Az alábbiakban néhány javaslatot és tippet talál egy lehetséges incidens gyors megválaszolásához és megoldásához, hogy csökkentse annak hatását és általános üzleti kockázatát.

A felhőalapú környezetekben a sérült identitások szervizelése elengedhetetlen a felhőalapú rendszerek általános biztonságának biztosításához. A feltört identitások hozzáférést biztosíthatnak a támadóknak a bizalmas adatokhoz és erőforrásokhoz, ezért elengedhetetlen a fiók és az adatok védelme érdekében azonnali lépések végrehajtása.

A rosszindulatú szereplők kizárása után törölje a sérült erőforrásokat. Tartsa szemmel az érintett előfizetést, és győződjön meg arról, hogy nincs további gyanús tevékenység. Emellett érdemes rendszeresen áttekinteni a naplókat és az auditnaplókat, hogy a fiókja biztonságos legyen.

A fiók feltörésének megakadályozása egyszerűbb, mint a helyreállítás. Ezért fontos a biztonsági helyzet megerősítése.

  • Tekintse át az ügyfelek Azure-előfizetéseinek kvótáját, és küldje el a fel nem használt kvóta csökkentésére vonatkozó kérelmet. További információ: Kvóta csökkentése.
  • Tekintse át és implementálja a Felhőszolgáltató biztonsági ajánlott eljárásait.
  • Az ügyfelekkel együttműködve megismerheti és megvalósíthatja az ügyfélbiztonsági ajánlott eljárásokat.
  • Győződjön meg arról, hogy a Felhőhöz készült Defender be van kapcsolva (a szolgáltatáshoz ingyenes szint érhető el).
  • Győződjön meg arról, hogy a Felhőhöz készült Defender be van kapcsolva (a szolgáltatáshoz ingyenes szint érhető el).

További információ: a cikk támogatása.

További monitorozási eszközök

A végfelhasználók előkészítése

A Microsoft értesítéseket küld az Azure-előfizetéseknek, amelyek a végfelhasználókhoz kerülnek. A végfelhasználóval együttműködve gondoskodjon arról, hogy megfelelően járjanak el, és riasztást kapnak a környezetük különböző biztonsági problémáiról:

  • Használati riasztások beállítása az Azure Monitor vagy az Azure Cost Management használatával.
  • Állítsa be a Service Health-riasztásokat , hogy értesüljön a Microsoft biztonsági és egyéb kapcsolódó problémáiról szóló egyéb értesítésekről.
  • A szervezet bérlői rendszergazdájával (ha ezt nem a partner kezeli) együttműködve fokozott biztonsági intézkedéseket kényszeríthet ki a bérlőre (lásd a következő szakaszt).

További információ a bérlő védelméről

Ha gyanítja, hogy jogosulatlanul használja az Ön vagy az ügyfél Azure-előfizetését, forduljon a Microsoft Azure ügyfélszolgálatához , hogy a Microsoft felgyorsíthassa az esetleges további kérdéseket és problémákat.

Ha konkrét kérdései vannak a Partnerközponttal kapcsolatban, küldjön támogatási kérelmet a Partnerközpontban. További információ: Támogatás kérése a Partnerközpontban.

Biztonsági értesítések ellenőrzése a Tevékenységnaplók területen

  1. Jelentkezzen be a Partnerközpontba, és válassza a beállítások (fogaskerék) ikont a jobb felső sarokban, majd válassza a Fiókbeállítások munkaterületet.
  2. Navigáljon a tevékenységnaplókhoz a bal oldali panelen.
  3. Állítsa be a Kezdő és a To dátumot a felső szűrőben.
  4. A Szűrés művelettípus szerint területen válassza az Észlelt Azure-csalási eseményt. A kiválasztott időszakban észlelt összes biztonsági riasztást látnia kell.

Miért kapnak a partnerek régebbi Azure-biztonsági riasztásokat?

A Microsoft 2021 decembere óta küld Azure Fraud-riasztásokat. Korábban azonban a riasztási értesítés csak az opt-in preferencia alapján történt, ahol a partnereknek le kellett fogadniuk az értesítéseket. Megváltoztattuk ezt a viselkedést. A partnereknek most meg kell oldaniuk az összes megnyitott csalási riasztást (beleértve a régi riasztásokat is). Az ügyfelek biztonsági helyzetének védelme érdekében kövesse az Felhőszolgáltató biztonsági ajánlott eljárásokat.

A Microsoft elküldi a csalások napi összegzését (ez az érintett partnerek, ügyfelek és előfizetések száma), ha az elmúlt 60 napban aktív, megoldatlan csalási riasztás történt. A Microsoft elküldi a csalások napi összegzését (ez az érintett partnerek, ügyfelek és előfizetések száma), ha az elmúlt 60 napban aktív, megoldatlan csalási riasztás történt.

Miért nem látom az összes riasztást?

A biztonsági riasztások értesítései bizonyos rendellenes műveletek mintáinak észlelésére korlátozódnak az Azure-ban. A biztonsági riasztások értesítései nem észlelik és nem garantálják az összes rendellenes viselkedés észlelését. Kritikus fontosságú, hogy más monitorozási módszereket is használjon az ügyfél Azure-előfizetéseiben a rendellenes használat észleléséhez, például az Azure havi költségkereteihez. Ha jelentős és hamis negatív riasztást kap, forduljon a partnertámogatáshoz, és adja meg a következő információkat:

  • Partnerbérlom-azonosító
  • Ügyfél bérlőjének azonosítója
  • Előfizetés azonosítója
  • Erőforrás-azonosító
  • Hatás kezdete és hatása a befejezési dátumokra