A biztonsági riasztások észlelése és a riasztásokra való válaszadás

Megfelelő szerepkörök: Rendszergazdai ügynök

A következőkre vonatkozik: Partnerközpont – közvetlen számla és közvetett szolgáltatók

Feliratkozhat egy új biztonsági riasztásra a jogosulatlan féllel való visszaéléssel és a fiókátvételekkel kapcsolatos észlelésekhez. Ez a biztonsági riasztás egyike annak a számos módszernek, ahányszor a Microsoft biztosítja az ügyfél bérlőinek védelméhez szükséges adatokat. Feliratkozhat egy új biztonsági riasztásra a jogosulatlan féllel való visszaéléssel és a fiókátvételekkel kapcsolatos észlelésekhez. Ez a biztonsági riasztás egyike annak a számos módszernek, ahányszor a Microsoft biztosítja az ügyfél bérlőinek védelméhez szükséges adatokat.

Fontos

A Felhőszolgáltató (CSP) program partnereként Ön a felelős az ügyfelek Azure-használatáért, ezért fontos, hogy tisztában legyen az ügyfél Azure-előfizetéseiben előforduló rendellenes használattal. A Microsoft Azure biztonsági riasztásaival észlelheti a csalárd tevékenységek mintáit és az Azure-erőforrásokban való visszaélést az online tranzakciók kockázatainak való kitettség csökkentése érdekében. A Microsoft Azure biztonsági riasztásai nem észlelnek minden típusú hamis tevékenységet vagy visszaélést, ezért fontos, hogy további monitorozási módszereket használjon az ügyfél Azure-előfizetéseiben előforduló rendellenes használat észleléséhez. További információ: A nemfizetés, a csalás vagy a visszaélés kezelése és az ügyfélfiókok kezelése.

Szükséges művelet: A figyeléssel és a jeltudatos működéssel azonnal megállapíthatja, hogy a viselkedés jogszerű vagy hamis-e. Szükség esetén felfüggesztheti az érintett Azure-erőforrásokat vagy Azure-előfizetéseket a probléma megoldásához.

Győződjön meg arról, hogy a partneradminisztrátori ügynökök által előnyben részesített e-mail-cím naprakész, így azok a biztonsági partnerekkel együtt értesíthetők.

Feliratkozás biztonsági riasztási értesítésekre

A szerepköre alapján különböző partnerértesítésekre iratkozhat fel.

A biztonsági riasztások értesítik, ha az ügyfél Azure-előfizetésében lehetséges rendellenes tevékenységek láthatók.

Riasztások lekérése e-mailben

1. Jelentkezzen be a Partnerközpontba, és válassza az Értesítések (harang) lehetőséget.
2. Válassza a Saját beállítások lehetőséget.
3. Ha még nem tette meg, adjon meg egy előnyben részesített e-mail-címet.
4. Ha még nem tette meg, állítsa be az értesítés kívánt nyelvét.
5. Válassza a Szerkesztés lehetőséget az E-mail értesítési beállítások mellett.
6. Jelölje be az ügyfelekre vonatkozó összes jelölőnégyzetet a Munkaterület oszlopban. (A leiratkozáshoz törölje a tranzakciós szakasz kijelölését az ügyfél-munkaterület alatt.)
7. Válassza a Mentés lehetőséget.

Biztonsági riasztásokat küldünk, ha észleljük a lehetséges biztonsági riasztási tevékenységeket vagy az ügyfelek Microsoft Azure-előfizetéseiben való visszaélést. Az e-maileknek három típusa van:

• A megoldatlan biztonsági riasztások napi összegzése (a különböző riasztástípusok által érintett partnerek, ügyfelek és előfizetések száma)
• Közel valós idejű biztonsági riasztások. A potenciális biztonsági problémákkal rendelkező Azure-előfizetések listájának lekéréséhez tekintse meg a csalási események lekérése című témakört.
• Közel valós idejű biztonsági tanácsadási értesítések. Ezek az értesítések betekintést nyújtanak az ügyfélnek biztonsági riasztás esetén küldött értesítésekbe.

Felhőszolgáltató (CSP) közvetlen számlapartnerek további riasztásokat láthatnak a tevékenységekről, például: rendellenes számítási használat, kriptobányászat, Azure Machine Learning-használat és szolgáltatásállapot-tanácsadási értesítések. Felhőszolgáltató (CSP) közvetlen számlapartnerek további riasztásokat láthatnak a tevékenységekről, például: rendellenes számítási használat, kriptobányászat, Azure Machine Learning-használat és szolgáltatásállapot-tanácsadási értesítések.

Riasztások lekérése webhookon keresztül

A partnerek regisztrálhatnak egy webhookeseményre: azure-fraud-event-detected riasztásokat kaphatnak az erőforrás-változási eseményekről. További információ: Partnerközpont webhookesemények.

Riasztások megtekintése és megválaszolása a Biztonsági riasztások irányítópulton

A CSP-partnerek hozzáférhetnek a Partnerközpont biztonsági riasztásai irányítópulthoz a riasztások észleléséhez és megválaszolásához. További információ: Válasz a biztonsági eseményekre a Partnerközpont biztonsági riasztások irányítópultjával. A CSP-partnerek hozzáférhetnek a Partnerközpont biztonsági riasztásai irányítópulthoz a riasztások észleléséhez és megválaszolásához. További információ: Válasz a biztonsági eseményekre a Partnerközpont biztonsági riasztások irányítópultjával.

Riasztás részleteinek lekérése az API-val

Az új Microsoft Graph Biztonsági riasztások API használata (bétaverzió)

Előnyök: 2024 májusától elérhető a Microsoft Graph Security Alerts API előzetes verziója. Ez az API egységes API-átjárót biztosít más Microsoft-szolgáltatások, például a Microsoft Entra ID, a Teams és az Outlook számára.

Előkészítési követelmények: Az előkészítést végző CSP-partnereknek az új biztonsági riasztások béta API-jának használatához van szükség. További információ: A partnerbiztonsági riasztási API használata a Microsoft Graphban.

A Microsoft Graph Security Alerts API V1 verziója 2024 júliusában jelenik meg.

Használati eset	API-k
Bevezetés a Microsoft Graph API-ba az Access Token lekéréséhez	Hozzáférés kérése egy felhasználó nevében
Biztonsági riasztások listázása a riasztások láthatóságának biztosításához	SecurityAlerts listázása
Kérje le a biztonsági riasztásokat, hogy a kiválasztott lekérdezési paraméter alapján betekintést kapjon egy adott riasztásba.	PartnerSecurityAlert lekérése
Jogkivonat lekérése a Partnerközpont API-k meghívásához referenciainformációkért	Biztonságos alkalmazásmodell engedélyezése
A szervezeti profil adatainak lekérése	Szervezeti profil lekérése
Ügyféladatok lekérése azonosító alapján	Ügyfél lekérése azonosító alapján
Ügyfél közvetett viszonteladói adatainak lekérése azonosító alapján	Ügyfél közvetett viszonteladóinak lekérése
Az ügyfél előfizetési adatainak lekérése azonosító alapján	Előfizetés lekérése azonosító alapján
Riasztás állapotának frissítése és feloldása enyhítéskor	PartnerSecurityAlert frissítése

A meglévő FraudEvents API támogatása

Fontos

Az örökölt csalási események API 2024 negyedik negyedévében megszűnik. További részletekért tekintse meg a partnerközpont havi biztonsági közleményeit. A CSP-partnereknek át kell költöznie az új Microsoft Graph Security Alerts API-ra, amely már előzetes verzióban érhető el.

Az átmeneti időszakban a CSP-partnerek továbbra is használhatják a FraudEvents API-t további észlelési jelek lekéréséhez az X-NewEventsModel használatával. Ezzel a modellel új típusú riasztásokat kaphat, amikor hozzáadják őket a rendszerhez, például rendellenes számítási használatot, kriptobányászatot, Azure Machine Learning-használatot és szolgáltatásállapot-tanácsadási értesítéseket. Az új típusú riasztások korlátozott értesítéssel vehetők fel, mivel a fenyegetések is fejlődnek. Ha az API-val speciális kezelést használ a különböző riasztástípusokhoz, figyelje az alábbi API-kat a módosításokhoz:

• Csalási események lekérése
• Csalási esemény állapotának frissítése

Mi a teendő, ha biztonsági riasztási értesítést kap?

Az alábbi ellenőrzőlista a biztonsági értesítések érkezésekor javasolt következő lépéseket ismerteti.

• Ellenőrizze, hogy az e-mail-értesítés érvényes-e. Biztonsági riasztások küldésekor a rendszer a Microsoft Azure-ból küldi őket a következő e-mail-címmel: no-reply@microsoft.com. A partnerek csak a Microsofttól kapnak értesítést.
• Ha értesítést kap, az e-mail-riasztás a Műveletközpont portálján is megjelenik. Válassza a harang ikont a Műveletközpont riasztásainak megtekintéséhez.
• Tekintse át az Azure-előfizetéseket. Állapítsa meg, hogy az előfizetésben lévő tevékenység jogos és elvárt-e, vagy hogy a tevékenység jogosulatlan visszaélés vagy csalás következménye lehet-e.
• Tudassa velünk, hogy mit talált a Biztonsági riasztások irányítópulton vagy az API-ból. Az API használatáról további információt a csalási események állapotának frissítése című témakörben talál. A talált adatok leírását az alábbi kategóriákban találja:
  • Legitim – A tevékenység várható vagy hamis pozitív jelzés.
  • Csalás – A tevékenység jogosulatlan visszaélés vagy csalás következménye.
  • Figyelmen kívül hagyás – A tevékenység régebbi riasztás, ezért figyelmen kívül kell hagyni. További információ: Miért kapnak a partnerek régebbi biztonsági riasztásokat?

Milyen további lépéseket tehet a kompromisszum kockázatának csökkentése érdekében?

• Engedélyezze a többtényezős hitelesítést (MFA) az ügyfél- és partnerbérlőkön. Az ügyfelek Azure-előfizetéseinek kezeléséhez engedéllyel rendelkező fiókoknak MFA-kompatibilisnek kell lenniük. További információkért tekintse meg Felhőszolgáltató ajánlott biztonsági és ügyfélbiztonsági ajánlott eljárásokat.
• Riasztások beállítása az Azure szerepköralapú hozzáférés-vezérlési (RBAC) hozzáférési engedélyeinek monitorozásához az ügyfelek Azure-előfizetéseihez. További információ: Azure-csomag – Előfizetések és erőforrások kezelése.
  • Az ügyfelek Azure-előfizetéseinek engedélyváltozásainak naplózása. Tekintse át az Azure Monitor-tevékenységnaplót az Azure-előfizetéssel kapcsolatos tevékenységekhez.
• Tekintse át a kiadási anomáliákat a költségkerettel szemben az Azure költségkezelésében.
• Oktatás és együttműködés az ügyfelekkel a fel nem használt kvóta csökkentése érdekében az Azure-előfizetésben megengedett károk elkerülése érdekében: Kvóták áttekintése – Azure-kvóták.
  • Kérés küldése az Azure-kvóta kezeléséhez: Azure-támogatás kérés létrehozása – Azure-támogatás ability
  • Tekintse át az aktuális kvótahasználatot: Azure Quota REST API-referencia
  • Ha olyan kritikus számítási feladatokat futtat, amelyek nagy kapacitást igényelnek, fontolja meg az igény szerinti kapacitásfoglalást vagy az Azure fenntartott virtuálisgép-példányokat

Mi a teendő, ha egy Azure-előfizetést feltörtek?

Azonnal intézkedhet a fiók és az adatok védelme érdekében. Az alábbiakban néhány javaslatot és tippet talál egy lehetséges incidens gyors megválaszolásához és megoldásához, hogy csökkentse annak hatását és általános üzleti kockázatát.

A felhőalapú környezetekben a sérült identitások szervizelése elengedhetetlen a felhőalapú rendszerek általános biztonságának biztosításához. A feltört identitások hozzáférést biztosíthatnak a támadóknak a bizalmas adatokhoz és erőforrásokhoz, ezért elengedhetetlen a fiók és az adatok védelme érdekében azonnali lépések végrehajtása.

• A következő hitelesítő adatok azonnali módosítása:

  • Bérlői rendszergazdák és RBAC-hozzáférés az Azure-előfizetéseken Mi az Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?
  • Kövesse a jelszóval kapcsolatos útmutatást. Jelszóházirend-javaslatok
  • Győződjön meg arról, hogy az összes bérlői rendszergazda és RBAC-tulajdonos rendelkezik az MFA regisztrálva és kényszerítve

• Tekintse át és ellenőrizze az összes globális rendszergazdai jelszó-helyreállítási e-mailt és telefonszámot a Microsoft Entra-azonosítón belül. Szükség esetén frissítse őket. Jelszóházirend-javaslatok

• Tekintse át, hogy mely felhasználók, bérlők és előfizetések vannak veszélyben az Azure Portalon.

  • Vizsgálja meg a kockázatot a Microsoft Entra ID-ra kattintva, hogy áttekintse az Identity Protection kockázati jelentéseit. További információ: Kockázatelemzési Microsoft Entra ID-védelem
  • Az Identity Protection licenckövetelményei
  • Kockázatok orvoslása és a felhasználók tiltásának feloldása
  • A Microsoft Entra ID Protection felhasználói élménye

• Tekintse át a Microsoft Entra bejelentkezési naplóit az ügyfélbérlõn, hogy szokatlan bejelentkezési mintákat láthassa a biztonsági riasztás aktiválásakor.

A rosszindulatú szereplők kizárása után törölje a sérült erőforrásokat. Tartsa szemmel az érintett előfizetést, és győződjön meg arról, hogy nincs további gyanús tevékenység. Emellett érdemes rendszeresen áttekinteni a naplókat és az auditnaplókat, hogy a fiókja biztonságos legyen.

• Ellenőrizze, hogy vannak-e jogosulatlan tevékenységek az Azure-tevékenységnaplóban, például a számlázás változásait, a nem engedélyezett kereskedelmi fogyasztási sorok használati adatait vagy konfigurációit.
• Tekintse át az ügyfél költségkeretével kapcsolatos költséganomáliákat az Azure költségkezelésében.
• A sérült erőforrások letiltása vagy törlése:
  • A fenyegetés szereplőjének azonosítása és kizárása: A Microsoft és az Azure biztonsági erőforrásaival helyreállíthatja a rendszerszintű identitások sérülését.
  • Ellenőrizze az Azure-tevékenységnaplóban az előfizetési szintű módosításokat.
  • Felszabadíthatja és eltávolíthatja a jogosulatlan fél által létrehozott erőforrásokat. Tekintse meg , hogyan tarthatja tisztán Az Azure-előfizetését | Azure Tippek és trükkök (videó)
  • Az ügyfelek Azure-előfizetéseit az API-n (Azure-jogosultság lemondása) vagy a Partnerközpont portálján keresztül mondhatja le.
  • Lépjen kapcsolatba Azure-támogatás azonnal, és jelentse az incidenst
  • Tároló eltávolítása az esemény után: Nem csatlakoztatott Azure-beli felügyelt és nem felügyelt lemezek keresése és törlése – Azure-beli virtuális gépek

A fiók feltörésének megakadályozása egyszerűbb, mint a helyreállítás. Ezért fontos a biztonsági helyzet megerősítése.

• Tekintse át az ügyfelek Azure-előfizetéseinek kvótáját, és küldje el a fel nem használt kvóta csökkentésére vonatkozó kérelmet. További információ: Kvóta csökkentése.
• Tekintse át és implementálja a Felhőszolgáltató biztonsági ajánlott eljárásait.
• Az ügyfelekkel együttműködve megismerheti és megvalósíthatja az ügyfélbiztonsági ajánlott eljárásokat.
• Győződjön meg arról, hogy a Felhőhöz készült Defender be van kapcsolva (a szolgáltatáshoz ingyenes szint érhető el).
• Győződjön meg arról, hogy a Felhőhöz készült Defender be van kapcsolva (a szolgáltatáshoz ingyenes szint érhető el).

További információ: a cikk támogatása.

További monitorozási eszközök

• Riasztások beállítása az Azure Portalról
• Azure-költségvetés beállítása az ügyfelek számára

A végfelhasználók előkészítése

A Microsoft értesítéseket küld az Azure-előfizetéseknek, amelyek a végfelhasználókhoz kerülnek. A végfelhasználóval együttműködve gondoskodjon arról, hogy megfelelően járjanak el, és riasztást kapnak a környezetük különböző biztonsági problémáiról:

• Használati riasztások beállítása az Azure Monitor vagy az Azure Cost Management használatával.
• Állítsa be a Service Health-riasztásokat , hogy értesüljön a Microsoft biztonsági és egyéb kapcsolódó problémáiról szóló egyéb értesítésekről.
• A szervezet bérlői rendszergazdájával (ha ezt nem a partner kezeli) együttműködve fokozott biztonsági intézkedéseket kényszeríthet ki a bérlőre (lásd a következő szakaszt).

További információ a bérlő védelméről

• Tekintse át és implementálja az Azure-objektumok működési biztonsági ajánlott eljárásait.
• Többtényezős hitelesítés kényszerítése az identitásbiztonsági helyzet megerősítéséhez.
• Kockázati szabályzatok és riasztások implementálása magas kockázatú felhasználók és bejelentkezések esetén: Mi az a Microsoft Entra ID-védelem?.

Ha gyanítja, hogy jogosulatlanul használja az Ön vagy az ügyfél Azure-előfizetését, forduljon a Microsoft Azure ügyfélszolgálatához , hogy a Microsoft felgyorsíthassa az esetleges további kérdéseket és problémákat.

Ha konkrét kérdései vannak a Partnerközponttal kapcsolatban, küldjön támogatási kérelmet a Partnerközpontban. További információ: Támogatás kérése a Partnerközpontban.

Biztonsági értesítések ellenőrzése a Tevékenységnaplók területen

1. Jelentkezzen be a Partnerközpontba, és válassza a beállítások (fogaskerék) ikont a jobb felső sarokban, majd válassza a Fiókbeállítások munkaterületet.
2. Navigáljon a tevékenységnaplókhoz a bal oldali panelen.
3. Állítsa be a Kezdő és a To dátumot a felső szűrőben.
4. A Szűrés művelettípus szerint területen válassza az Észlelt Azure-csalási eseményt. A kiválasztott időszakban észlelt összes biztonsági riasztást látnia kell.

Miért kapnak a partnerek régebbi Azure-biztonsági riasztásokat?

A Microsoft 2021 decembere óta küld Azure Fraud-riasztásokat. Korábban azonban a riasztási értesítés csak az opt-in preferencia alapján történt, ahol a partnereknek le kellett fogadniuk az értesítéseket. Megváltoztattuk ezt a viselkedést. A partnereknek most meg kell oldaniuk az összes megnyitott csalási riasztást (beleértve a régi riasztásokat is). Az ügyfelek biztonsági helyzetének védelme érdekében kövesse az Felhőszolgáltató biztonsági ajánlott eljárásokat.

A Microsoft elküldi a csalások napi összegzését (ez az érintett partnerek, ügyfelek és előfizetések száma), ha az elmúlt 60 napban aktív, megoldatlan csalási riasztás történt. A Microsoft elküldi a csalások napi összegzését (ez az érintett partnerek, ügyfelek és előfizetések száma), ha az elmúlt 60 napban aktív, megoldatlan csalási riasztás történt.

Miért nem látom az összes riasztást?

A biztonsági riasztások értesítései bizonyos rendellenes műveletek mintáinak észlelésére korlátozódnak az Azure-ban. A biztonsági riasztások értesítései nem észlelik és nem garantálják az összes rendellenes viselkedés észlelését. Kritikus fontosságú, hogy más monitorozási módszereket is használjon az ügyfél Azure-előfizetéseiben a rendellenes használat észleléséhez, például az Azure havi költségkereteihez. Ha jelentős és hamis negatív riasztást kap, forduljon a partnertámogatáshoz, és adja meg a következő információkat:

• Partnerbérlom-azonosító
• Ügyfél bérlőjének azonosítója
• Előfizetés azonosítója
• Erőforrás-azonosító
• Hatás kezdete és hatása a befejezési dátumokra

Következő lépések

• Integrálható a Security Alerts API-val, és regisztráljon egy webhookot.