Biztonsági események megválaszolása a Biztonsági riasztások irányítópulttal
Megfelelő szerepkörök: Rendszergazdai ügynök
A következőkre vonatkozik: Partnerközpont – közvetlen számla és közvetett szolgáltatók
A Partnerközpont biztonsági riasztások irányítópultja segít a partnereknek gyorsan reagálni a partnerközpontban vagy az ügyfél bérlőjében előforduló biztonsági, csalási és egyéb eseményekre.
API
Több Partnerközponttal rendelkező Microsoft Entra-bérlővel rendelkező partnerek esetén a Riasztások irányítópult használata helyett a következő API-k használatával kaphat és frissíthet riasztásokat:
- Azure-beli csalási értesítés – Csalási események lekérése
- Az Azure visszaélésekkel kapcsolatos értesítései – a visszaélésekkel kapcsolatos események állapota
Előfeltételek
A Partnerközpont biztonsági riasztások irányítópultjának használatához a felhasználói fiókjához rendszergazdai ügynöki szerepkört kell hozzárendelni.
A riasztásokra adott időben történő válasz fontossága
Amikor riasztást hoz létre az irányítópulton, kritikus fontosságú, hogy a lehető legrövidebb időn belül mérsékelje a riasztást okozó incidenst. Alapelvként javasoljuk, hogy egy órán belül válaszoljon a riasztásokra. A csalás típusú riasztások esetében minél tovább tart a riasztást okozó incidens megválaszolása és enyhítése, annál több pénzügyi hatás merülhet fel.
Navigálás a Riasztások irányítópultra
A Partnerközpont biztonsági riasztásainak irányítópultjának elérése:
- Jelentkezzen be a Partnerközpontba egy rendszergazdai ügynök szerepkörrel rendelkező felhasználóval.
- Válassza ki az Insights-munkaterületet .
- A bal oldali navigációs menü Biztonság területén válassza a Riasztások lehetőséget.
Riasztások megtekintése
A Riasztások lapon a következők láthatók:
- Új riasztások ezen a héten – Az elmúlt hét nap új riasztásainak száma.
- Feloldva – A megadott okkal feloldott riasztások száma (például jogszerű vagy csalás).
- Aktív > Folyamatban – A figyelmet igénylő megoldatlan riasztások száma.
A riasztási oldal alsó szakasza felsorolja azokat a riasztásokat, amelyek hatással vannak a Partnerközpont-bérlőre, amelybe bejelentkezett.
- Riasztás neve – Ez a név magas szintű információkat jelenít meg az észlelt adatokról.
- Előfizetés azonosítója – Ez az azonosító akkor jelenik meg, ha riasztást észlel egy adott Azure-előfizetésben.
- Riasztás azonosítója – A riasztás egyedi azonosítója.
- Riasztás állapota – A riasztás állapota (aktív vagy megoldott).
- Első megfigyelés – A riasztás első megjelenése.
- Legutóbb megfigyelt – A riasztás legutóbbi megjelenése.
- Riasztás típusa – Az észlelt és a riasztást okozó tevékenység típusa. Két riasztástípus létezik:
- Azure-értesítések – Ez a riasztás azt jelzi, hogy a rendszer üzenetet küldött az érintett Azure-előfizetés ügyfélének, és Service Health-értesítésként jelenik meg. Ennek az üzenetnek egy másolata megjelenik a riasztás részletei között.
- Azure-használat – Ez a riasztás vagy az Azure-előfizetés tevékenységének szokatlan növekedését jelzi, vagy az előfizetésben előforduló rendellenes tevékenységet, például a kriptovaluta-bányászatot.
- Súlyosság – Azt a sürgősséget jelzi, amelyet a riasztás megválaszolásakor meg kell tenni.
A Szűrő beállítással módosíthatja, hogy milyen riasztások jelenjenek meg a Riasztás lapon.
A keresés lehetővé teszi, hogy a keresőmezőbe beírt információkra vonatkozó összes riasztásban keressen, és megnyitja a Riasztás lapot. A rendszer a következő mezőket keresi:
- Előfizetés azonosítója
- Riasztás azonosítója
- Ügyfél neve
Műveletek a Riasztás részletei lapon
Példa a Riasztás részletei lapra :
Ha további részleteket szeretne látni egy riasztásról, válassza ki a riasztás nevét. Az alábbi példariasztás például egy Azure-előfizetésben előforduló kriptovaluta-bányászattal kapcsolatos viselkedést mutatja be.
A Riasztás részletei lap tetején megjelenik az ügyfél és a viszonteladó adatai (ha vannak).
A riasztás leírása áttekintést nyújt arról, hogy miért történt a riasztás, valamint a kivizsgálás lépéseit.
Az Érintett erőforrások szakasz a következő információkat jeleníti meg:
Erőforrás-információk – A riasztást okozó észlelésben részt vevő erőforrások részletei. Ebben a példában egy "badvmtest" nevű virtuális gép található a "testserver" erőforráscsoportban. Az első kapcsolati idő és az utolsó kapcsolati idő azt jelzi, hogy mikor észleltük először ezt az erőforrást, amely egy ismert bányászati készlettel lépett kapcsolatba, és a legutóbbi alkalommal, amikor megfigyelték.
További információ – Ha az erőforrás által mutatott viselkedéssel kapcsolatos részletek érhetők el, itt jelennek meg. Ebben a példában a "badvmtest" virtuális gép egy ismert bányászati készlet IP-címével kommunikált. Az Erőforrás adatai szakasz azt mutatja, hogy az IP-címhez négyszer csatlakozik az első kapcsolati idő és az utolsó kapcsolati idő között.
Műveletsáv – A riasztás vizsgálatának befejezésekor válasszon ki egy műveletet, amelyből megtudhatja, hogy a Partnerközpont mit talált. Ha kiválaszt egy műveletet, a riasztás feloldva lesz. A kiválasztott művelet jelzi a riasztás feloldásának okát . A megadott lehetőségek a következők:
- Megjelölés megbízhatóként – Megvizsgálta az erőforrásokat, és vagy nem talált bizonyítékot arra vonatkozóan, hogy mit jelzett a riasztás, vagy az ügyféllel való ellenőrzéskor azt jelzi, hogy a viselkedés várható.
- Megjelölés csalásként – Megvizsgálta az erőforrásokat, és megállapította, hogy a riasztás által jelzett viselkedést hajtják végre.
Erőforrások – A riasztás jelen szakaszában található hivatkozásokkal további információt kaphat a riasztásokról és a riasztások fogadásakor teendőkről.
Erőforrások – További információ a riasztásokról és a riasztások fogadásakor teendőkről.
Válassza ki a riasztást a Riasztás részletei lap megnyitásához.
Műveletek a Riasztás részletei lapon
Példa a Riasztás részletei lapra :
A Riasztás részletei lap három műveletet mutat be.
Előfizetés lemondása – A művelet használatához globális rendszergazdai és rendszergazdai ügynöki szerepkörrel kell rendelkeznie. Ha a riasztás vizsgálata azt jelzi, hogy az Azure-előfizetést egy jogosulatlan fél előzi meg, az Előfizetés lemondása lehetőséget választva felszabadíthatja az Azure-előfizetés összes erőforrását, és megjelölheti az előfizetés összes adatát törlésre a megőrzési időszak után. A művelet végrehajtása előtt javasoljuk, hogy kommunikáljon az ügyféllel a riasztásról, és ha lehetséges, kérje meg a hozzájárulásukat az előfizetés lemondásához. Ha ezt a gombot választja, a következő megerősítési oldal jelenik meg, hogy megértse a művelet hatását. Válassza a Folytatás lemondással lehetőséget az Azure-előfizetés lemondásához. Ha a Folytatás lemondással lehetőséget választja, az előfizetés megszűnik, és az előfizetésre vonatkozó összes riasztást a Csalás okával oldja fel a rendszer.
További információ: Azure-előfizetés lemondása.
Előfizetés kezelése – Az előfizetés kezelése művelet az Azure Management portálra viszi a rendszergazda nevében. Az ügyfél által biztosított hozzáférési szint alapján lehetséges, hogy tovább vizsgálhatja a riasztás részleteiben megjelölt erőforrásokat. További információ: Előfizetések és erőforrások kezelése az Azure-csomagban.
Vissza a riasztásokhoz – Vissza a riasztások fő irányítópultjára a riasztások listájával.
Műveletek a Riasztás lapon
A Riasztás lapon a riasztási lista felett két műveletet hajthat végre.
Előfizetés lemondása – A művelet használatához globális rendszergazdai és rendszergazdai ügynöki szerepkörrel kell rendelkeznie. Ha a riasztás vizsgálata azt jelzi, hogy az Azure-előfizetést egy jogosulatlan fél előzi meg, az Előfizetés lemondása lehetőséget választva felszabadíthatja az Azure-előfizetés összes erőforrását, és megjelölheti az előfizetés összes adatát törlésre a megőrzési időszak után. A művelet végrehajtása előtt javasoljuk, hogy kommunikáljon az ügyféllel a riasztásról, és ha lehetséges, kérje meg a hozzájárulásukat az előfizetés lemondásához. Miután kiválasztotta ezt a gombot, megjelenik a következő megerősítési oldal, amely segít megérteni a művelet hatását. Válassza a Folytatás lemondással lehetőséget az Azure-előfizetés lemondásához.
Exportálás – Ha a riasztásokkal kapcsolatos összes részletes információt exportálni szeretné, az Exportálás művelet segítségével letöltheti a riasztási adatokat tartalmazó CSV-fájlt (vesszővel tagolt érték). Megjegyzés: Az exportálás egy CSV-fájlt hoz létre, amely csak a jelenleg megtekintett riasztásokat jeleníti meg. Módosítsa a Szűrő beállítást az exportálni kívánt riasztás megjelenítéséhez.
Kapcsolódó tartalom
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: