A biztonsági riasztások észlelése és a riasztásokra való válaszadás

Megfelelő szerepkörök: Rendszergazda ügynök

A következőkre vonatkozik: Partnerközpont – közvetlen számla és közvetett szolgáltatók

2023 májusától új biztonsági riasztásra iratkozhat fel a jogosulatlan féllel való visszaéléssel és a fiókátvételekkel kapcsolatos észlelésekre. Ez a biztonsági riasztás egyike annak a számos módszernek, ahányszor a Microsoft biztosítja az ügyfél bérlőinek védelméhez szükséges adatokat.

Fontos

A Felhőszolgáltató (CSP) program partnereként Ön a felelős az ügyfelek Azure-használatáért, ezért fontos, hogy tisztában legyen az ügyfél Azure-előfizetéseiben előforduló rendellenes használattal. A Microsoft Azure biztonsági riasztásaival észlelheti a csalárd tevékenységek mintáit és az Azure-erőforrásokban való visszaélést az online tranzakciók kockázatainak való kitettség csökkentése érdekében. A Microsoft Azure biztonsági riasztásai nem észlelnek minden típusú hamis tevékenységet vagy visszaélést, ezért fontos, hogy további monitorozási módszereket használjon az ügyfél Azure-előfizetéseiben előforduló rendellenes használat észleléséhez. További információ: A nemfizetés, a csalás vagy a visszaélés kezelése és az ügyfélfiókok kezelése.

Szükséges művelet: A figyeléssel és a jeltudatos működéssel azonnal megállapíthatja, hogy a viselkedés jogszerű vagy hamis-e. Szükség esetén felfüggesztheti az érintett Azure-erőforrásokat vagy Azure-előfizetéseket a probléma megoldásához.

Győződjön meg arról, hogy a partner Rendszergazda ügynökök által előnyben részesített e-mail-cím naprakész, így a biztonsági partnerekkel együtt értesíthetők.

Feliratkozás biztonsági riasztási értesítésekre

A szerepköre alapján különböző partnerértesítésekre iratkozhat fel.

A biztonsági riasztások értesítik, ha az ügyfél Azure-előfizetésében lehetséges rendellenes tevékenységek láthatók.

Riasztások lekérése e-mailben

1. Jelentkezzen be a Partnerközpontba, és válassza az Értesítések (harang) lehetőséget.
2. Válassza a Saját beállítások lehetőséget.
3. Ha még nem tette meg, adjon meg egy előnyben részesített e-mail-címet.
4. Ha még nem tette meg, állítsa be az értesítés kívánt nyelvét.
5. Válassza a Szerkesztés lehetőséget az E-mail értesítési beállítások mellett.
6. Jelölje be az ügyfelekre vonatkozó összes jelölőnégyzetet a Munkaterület oszlopban. (A leiratkozáshoz törölje a tranzakciós szakasz kijelölését az ügyfél-munkaterület alatt.)
7. Válassza a Mentés lehetőséget.

Biztonsági riasztásokat küldünk, ha észleljük a lehetséges biztonsági riasztási tevékenységeket vagy az ügyfelek Microsoft Azure-előfizetéseiben való visszaélést. Az e-maileknek három típusa van:

• A megoldatlan biztonsági riasztások napi összegzése (a különböző riasztástípusok által érintett partnerek, ügyfelek és előfizetések száma)
• Közel valós idejű biztonsági riasztások. A potenciális biztonsági problémákkal rendelkező Azure-előfizetések listájának lekéréséhez tekintse meg a csalási események lekérése című témakört.
• Közel valós idejű biztonsági tanácsadási értesítések. Ezek az értesítések betekintést nyújtanak az ügyfélnek biztonsági riasztás esetén küldött értesítésekbe.

A közvetlen CSP-partnerek további riasztásokat láthatnak a tevékenységekről, például: rendellenes számítási használat, kriptobányászat, Azure Machine Tanulás használati és szolgáltatásállapot-tanácsadási értesítések.

Riasztások lekérése webhookon keresztül

2023 januárjától a partnerek regisztrálhatnak egy webhookeseményre: azure-fraud-event-detected riasztásokat kaphatnak az erőforrás-változási eseményekről. További információ: Partnerközpont webhookesemények.

Riasztások megtekintése és megválaszolása a Biztonsági riasztások irányítópulton

2023 májusától a CSP-partnerek hozzáférhetnek a Partnerközpont biztonsági riasztásai irányítópulthoz a riasztások észleléséhez és megválaszolásához. További információ: Válasz a biztonsági eseményekre a Partnerközpont biztonsági riasztások irányítópultjával.

Riasztás részleteinek lekérése az API-val

2023 májusától a CSP-partnerek a FraudEvents API használatával további észlelési jeleket kaphatnak az X-NewEventsModel használatával. Ezzel a modellel új típusú riasztásokat kaphat a rendszerhez való hozzáadásukkor, például rendellenes számítási használat, kriptobányászat, Azure Machine Tanulás használati és szolgáltatásállapot-tanácsadási értesítések. Az új típusú riasztások korlátozott értesítéssel vehetők fel, mivel a fenyegetések is fejlődnek. Ha az API-val speciális kezelést használ a különböző riasztástípusokhoz, figyelje az alábbi API-kat a módosításokhoz:

• Csalási események lekérése
• Csalási esemény állapotának frissítése

Mi a teendő, ha biztonsági riasztási értesítést kap?

Az alábbi ellenőrzőlista a biztonsági értesítések érkezésekor javasolt következő lépéseket ismerteti.

• Ellenőrizze, hogy az e-mail-értesítés érvényes-e. Biztonsági riasztások küldésekor a rendszer a Microsoft Azure-ból küldi őket a következő e-mail-címmel: no-reply@microsoft.com. A partnerek csak a Microsofttól kapnak értesítést.
• Ha értesítést kap, az e-mail-riasztás a Műveletközpont portálján is megjelenik. Válassza a harang ikont a Műveletközpont riasztásainak megtekintéséhez.
• Tekintse át az Azure-előfizetéseket. Állapítsa meg, hogy az előfizetésben lévő tevékenység jogos és elvárt-e, vagy hogy a tevékenység jogosulatlan visszaélés vagy csalás következménye lehet-e.
• Tudassa velünk, hogy mit talált a Biztonsági riasztások irányítópulton vagy az API-ból. Az API használatáról további információt a csalási események állapotának frissítése című témakörben talál. A talált adatok leírását az alábbi kategóriákban találja:
  • Legitim – A tevékenység várható vagy hamis pozitív jelzés.
  • Csalás – A tevékenység jogosulatlan visszaélés vagy csalás következménye.
  • Figyelmen kívül hagyás – A tevékenység régebbi riasztás, ezért figyelmen kívül kell hagyni. További információ: Miért kapnak a partnerek régebbi biztonsági riasztásokat?

Milyen további lépéseket tehet a kompromisszum kockázatának csökkentése érdekében?

• Engedélyezze a többtényezős hitelesítést (MFA) az ügyfél- és partnerbérlőkön. Az ügyfelek Azure-előfizetéseinek kezeléséhez engedéllyel rendelkező fiókoknak MFA-kompatibilisnek kell lenniük. További információkért tekintse meg Felhőszolgáltató ajánlott biztonsági ésügyfélbiztonsági ajánlott eljárásokat.
• Riasztások beállítása az Azure szerepköralapú hozzáférés-vezérlési (RBAC) hozzáférési engedélyeinek monitorozásához az ügyfelek Azure-előfizetéseihez. További információ: Azure-csomag – Előfizetések és erőforrások kezelése.
  • Az ügyfelek Azure-előfizetéseinek engedélyváltozásainak naplózása. Tekintse át az Azure Monitor-tevékenységnaplót az Azure-előfizetéssel kapcsolatos tevékenységekhez.
• Tekintse át a kiadási anomáliákat a költségkerettel szemben az Azure költségkezelésében.
• Oktatás és együttműködés az ügyfelekkel a fel nem használt kvóta csökkentése érdekében az Azure-előfizetésben megengedett károk elkerülése érdekében: Kvóták áttekintése – Azure-kvóták.
  • Kérés küldése az Azure-kvóta kezeléséhez: Azure-támogatás kérés létrehozása – Azure-támogatás ability
  • Tekintse át az aktuális kvótahasználatot: Azure Quota REST API-referencia
  • Ha olyan kritikus számítási feladatokat futtat, amelyek nagy kapacitást igényelnek, fontolja meg az igény szerinti kapacitásfoglalást vagy az Azure fenntartott virtuálisgép-példányokat

Mi a teendő, ha egy Azure-előfizetést feltörtek?

Azonnal intézkedhet a fiók és az adatok védelme érdekében. Az alábbiakban néhány javaslatot és tippet talál egy lehetséges incidens gyors megválaszolásához és megoldásához, hogy csökkentse annak hatását és általános üzleti kockázatát.

A felhőalapú környezetekben a sérült identitások szervizelése elengedhetetlen a felhőalapú rendszerek általános biztonságának biztosításához. A feltört identitások hozzáférést biztosíthatnak a támadóknak a bizalmas adatokhoz és erőforrásokhoz, ezért elengedhetetlen a fiók és az adatok védelme érdekében azonnali lépések végrehajtása.

• A következő hitelesítő adatok azonnali módosítása:

  • Bérlői rendszergazdák és RBAC-hozzáférés az Azure-előfizetéseken Mi az Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?
  • Kövesse a jelszóval kapcsolatos útmutatást. Jelszóházirend-javaslatok
  • Győződjön meg arról, hogy az összes bérlői rendszergazda és RBAC-tulajdonos rendelkezik az MFA regisztrálva és kényszerítve

• Tekintse át és ellenőrizze az összes globális rendszergazdai jelszó-helyreállítási e-mailt és telefonszámot a Microsoft Entra-azonosítón belül. Szükség esetén frissítse őket. Jelszóházirend-javaslatok

• Tekintse át, hogy mely felhasználók, bérlők és előfizetések vannak veszélyben az Azure Portalon.

  • Vizsgálja meg a kockázatot a Microsoft Entra ID-ra kattintva, hogy áttekintse az Identity Protection kockázati jelentéseit. További információ: Kockázatelemzési Microsoft Entra ID-védelem
  • Az Identity Protection licenckövetelményei
  • Kockázatok orvoslása és a felhasználók tiltásának feloldása
  • A Microsoft Entra ID Protection felhasználói élménye

• Tekintse át a Microsoft Entra bejelentkezési naplóit az ügyfélbérlõn, hogy szokatlan bejelentkezési mintákat láthassa a biztonsági riasztás aktiválásakor.

A rosszindulatú szereplők kizárása után törölje a sérült erőforrásokat. Tartsa szemmel az érintett előfizetést, és győződjön meg arról, hogy nincs további gyanús tevékenység. Emellett érdemes rendszeresen áttekinteni a naplókat és az auditnaplókat, hogy a fiókja biztonságos legyen.

• Ellenőrizze, hogy vannak-e jogosulatlan tevékenységek az Azure-tevékenységnaplóban, például a számlázás változásait, a nem engedélyezett kereskedelmi fogyasztási sorok használati adatait vagy konfigurációit.
• Tekintse át az ügyfél költségkeretével kapcsolatos költséganomáliákat az Azure költségkezelésében.
• A sérült erőforrások letiltása vagy törlése:
  • A fenyegetés szereplőjének azonosítása és kizárása: A Microsoft és az Azure biztonsági erőforrásaival helyreállíthatja a rendszerszintű identitások sérülését.
  • Ellenőrizze az Azure-tevékenységnaplóban az előfizetési szintű módosításokat.
  • Felszabadíthatja és eltávolíthatja a jogosulatlan fél által létrehozott erőforrásokat. Tekintse meg, hogyan tarthatja tisztán Az Azure-előfizetését | Azure Tippek és trükkök (videó)
  • Az ügyfelek Azure-előfizetéseit az API-n (Azure-jogosultság lemondása) vagy a Partnerközpont portálján keresztül mondhatja le.
  • Lépjen kapcsolatba Azure-támogatás azonnal, és jelentse az incidenst
  • Tároló eltávolítása az esemény után: Nem csatlakoztatott Azure-beli felügyelt és nem felügyelt lemezek keresése és törlése – Azure-beli virtuális gépek

A fiók feltörésének megakadályozása egyszerűbb, mint a helyreállítás. Ezért fontos a biztonsági helyzet megerősítése.

• Tekintse át az ügyfelek Azure-előfizetéseinek kvótáját, és küldje el a fel nem használt kvóta csökkentésére vonatkozó kérelmet. További információ: Kvóta csökkentése.
• Tekintse át és implementálja a Felhőszolgáltató biztonsági ajánlott eljárásait.
• Az ügyfelekkel együttműködve megismerheti és megvalósíthatja az ügyfélbiztonsági ajánlott eljárásokat.
• Győződjön meg arról, hogy a Felhőhöz készült Defender be van kapcsolva (a szolgáltatáshoz ingyenes szint érhető el).

További információ: a cikk támogatása.

További monitorozási eszközök

• Riasztások beállítása az Azure Portalról
• Azure-költségvetés beállítása az ügyfelek számára

A végfelhasználók előkészítése

A Microsoft értesítéseket küld az Azure-előfizetéseknek, amelyek a végfelhasználókhoz kerülnek. A végfelhasználóval együttműködve gondoskodjon arról, hogy megfelelően járjanak el, és riasztást kapnak a környezetük különböző biztonsági problémáiról:

• Használati riasztások beállítása az Azure Monitor vagy az Azure Cost Management használatával.
• Állítsa be a Service Health-riasztásokat , hogy értesüljön a Microsoft biztonsági és egyéb kapcsolódó problémáiról szóló egyéb értesítésekről.
• A szervezet bérlői Rendszergazda (ha ezt nem a partner kezeli) együttműködve fokozott biztonsági intézkedéseket kényszeríthet ki a bérlőre (lásd a következő szakaszt).

További információ a bérlő védelméről

• Tekintse át és implementálja az Azure-objektumok működési biztonsági ajánlott eljárásait.

• Többtényezős hitelesítés kényszerítése az identitásbiztonsági helyzet megerősítéséhez.

• Kockázati szabályzatok és riasztások implementálása magas kockázatú felhasználók és bejelentkezések esetén:Mi az a Microsoft Entra ID-védelem?.

Ha gyanítja, hogy jogosulatlanul használja az Ön vagy az ügyfél Azure-előfizetését, forduljon a Microsoft Azure ügyfélszolgálatához , hogy a Microsoft felgyorsíthassa az esetleges további kérdéseket és problémákat.

Ha konkrét kérdései vannak a Partnerközponttal kapcsolatban, küldjön támogatási kérelmet a Partnerközpontban. További információ: Támogatás kérése a Partnerközpontban.

Biztonsági értesítések ellenőrzése a Tevékenységnaplók területen

1. Jelentkezzen be a Partnerközpontba, és válassza a beállítások (fogaskerék) ikont a jobb felső sarokban, majd válassza a Fiókbeállítások munkaterületet.
2. Navigáljon a tevékenységnaplókhoz a bal oldali panelen.
3. Állítsa be a Kezdő és a To dátumot a felső szűrőben.
4. A Szűrés művelettípus szerint területen válassza az Észlelt Azure-csalási eseményt. A kiválasztott időszakban észlelt összes biztonsági riasztást látnia kell.

Miért kapnak a partnerek régebbi Azure-biztonsági riasztásokat?

A Microsoft 2021 decembere óta küld Azure Fraud-riasztásokat. Korábban azonban a riasztási értesítés csak az opt-in preferencia alapján történt, ahol a partnereknek le kellett fogadniuk az értesítéseket. Megváltoztattuk ezt a viselkedést. A partnereknek most meg kell oldaniuk az összes megnyitott csalási riasztást (beleértve a régi riasztásokat is). Kövesse az Felhőszolgáltató biztonsági ajánlott eljárásokat az ügyfelek és az ügyfelek biztonsági helyzetének védelme érdekében.

A Microsoft elküldi a csalások napi összegzését (ez az érintett partnerek, ügyfelek és előfizetések száma), ha az elmúlt 60 napban aktív, megoldatlan csalási riasztás történt.

Miért nem látom az összes riasztást?

A biztonsági riasztások értesítései bizonyos rendellenes műveletek mintáinak észlelésére korlátozódnak az Azure-ban. A biztonsági riasztások értesítései nem észlelik és nem garantálják az összes rendellenes viselkedés észlelését. Kritikus fontosságú, hogy más monitorozási módszereket is használjon az ügyfél Azure-előfizetéseiben a rendellenes használat észleléséhez, például az Azure havi költségkereteihez. Ha jelentős és hamis negatív riasztást kap, forduljon a partnertámogatáshoz, és adja meg a következő információkat:

• Partnerbérlom-azonosító
• Ügyfél bérlőjének azonosítója
• Előfizetés azonosítója
• Erőforrás-azonosító
• Hatás kezdete és hatása a befejezési dátumokra

Következő lépések

• Integrálható a Security Alerts API-val, és regisztráljon egy webhookot.