Megosztás a következőn keresztül:

Biztonsági események megválaszolása a Biztonsági riasztások irányítópulttal

  • Cikk

Megfelelő szerepkörök: Rendszergazdai ügynök

A következőkre vonatkozik: Partnerközpont – közvetlen számla és közvetett szolgáltatók

A Partnerközpont biztonsági riasztások irányítópultja segít a partnereknek gyorsan reagálni a partnerközpontban vagy az ügyfél bérlőjében előforduló biztonsági, csalási és egyéb eseményekre.

API

Több Partnerközponttal rendelkező Microsoft Entra-bérlővel rendelkező partnerek esetén a Riasztások irányítópult használata helyett a következő API-k használatával kaphat és frissíthet riasztásokat:

Előfeltételek

A Partnerközpont biztonsági riasztások irányítópultjának használatához a felhasználói fiókjához rendszergazdai ügynöki szerepkört kell hozzárendelni.

A riasztásokra adott időben történő válasz fontossága

Amikor riasztást hoz létre az irányítópulton, kritikus fontosságú, hogy a lehető legrövidebb időn belül mérsékelje a riasztást okozó incidenst. Alapelvként javasoljuk, hogy egy órán belül válaszoljon a riasztásokra. A csalás típusú riasztások esetében minél tovább tart a riasztást okozó incidens megválaszolása és enyhítése, annál több pénzügyi hatás merülhet fel.

A Partnerközpont biztonsági riasztásainak irányítópultjának elérése:

  1. Jelentkezzen be a Partnerközpontba egy rendszergazdai ügynök szerepkörrel rendelkező felhasználóval.
  2. Válassza ki az Insights-munkaterületet .
  3. A bal oldali navigációs menü Biztonság területén válassza a Riasztások lehetőséget.

Riasztások megtekintése

A Riasztások lapon a következők láthatók:

  • Új riasztások ezen a héten – Az elmúlt hét nap új riasztásainak száma.
  • Feloldva – A megadott okkal feloldott riasztások száma (például jogszerű vagy csalás).
  • Aktív > Folyamatban – A figyelmet igénylő megoldatlan riasztások száma.

Képernyőkép a Partnerközpont riasztásai képernyőről, beleértve az átlagos válaszidőt, a héten megjelenő új riasztásokat, a feloldott és az aktív és folyamatban lévő riasztásokat.

A riasztási oldal alsó szakasza felsorolja azokat a riasztásokat, amelyek hatással vannak a Partnerközpont-bérlőre, amelybe bejelentkezett.

Képernyőkép a Riasztások lapról, valamint a végrehajtható műveletekről, beleértve az előfizetés lemondását és az exportálást.

  • Riasztás neve – Ez a név magas szintű információkat jelenít meg az észlelt adatokról.
  • Előfizetés azonosítója – Ez az azonosító akkor jelenik meg, ha riasztást észlel egy adott Azure-előfizetésben.
  • Riasztás azonosítója – A riasztás egyedi azonosítója.
  • Riasztás állapota – A riasztás állapota (aktív vagy megoldott).
  • Első megfigyelés – A riasztás első megjelenése.
  • Legutóbb megfigyelt – A riasztás legutóbbi megjelenése.
  • Riasztás típusa – Az észlelt és a riasztást okozó tevékenység típusa. Két riasztástípus létezik:
    • Azure-értesítések – Ez a riasztás azt jelzi, hogy a rendszer üzenetet küldött az érintett Azure-előfizetés ügyfélének, és Service Health-értesítésként jelenik meg. Ennek az üzenetnek egy másolata megjelenik a riasztás részletei között.
    • Azure-használat – Ez a riasztás vagy az Azure-előfizetés tevékenységének szokatlan növekedését jelzi, vagy az előfizetésben előforduló rendellenes tevékenységet, például a kriptovaluta-bányászatot.
  • Súlyosság – Azt a sürgősséget jelzi, amelyet a riasztás megválaszolásakor meg kell tenni.

A Szűrő beállítással módosíthatja, hogy milyen riasztások jelenjenek meg a Riasztás lapon.

A keresés lehetővé teszi, hogy a keresőmezőbe beírt információkra vonatkozó összes riasztásban keressen, és megnyitja a Riasztás lapot. A rendszer a következő mezőket keresi:

  • Előfizetés azonosítója
  • Riasztás azonosítója
  • Ügyfél neve

Műveletek a Riasztás részletei lapon

Példa a Riasztás részletei lapra :

Ha további részleteket szeretne látni egy riasztásról, válassza ki a riasztás nevét. Az alábbi példariasztás például egy Azure-előfizetésben előforduló kriptovaluta-bányászattal kapcsolatos viselkedést mutatja be.

Képernyőkép a kriptovaluta-bányászattal kapcsolatos riasztás részleteiről.

A Riasztás részletei lap tetején megjelenik az ügyfél és a viszonteladó adatai (ha vannak).

A riasztás leírása áttekintést nyújt arról, hogy miért történt a riasztás, valamint a kivizsgálás lépéseit.

Az Érintett erőforrások szakasz a következő információkat jeleníti meg:

  • Erőforrás-információk – A riasztást okozó észlelésben részt vevő erőforrások részletei. Ebben a példában egy "badvmtest" nevű virtuális gép található a "testserver" erőforráscsoportban. Az első kapcsolati idő és az utolsó kapcsolati idő azt jelzi, hogy mikor észleltük először ezt az erőforrást, amely egy ismert bányászati készlettel lépett kapcsolatba, és a legutóbbi alkalommal, amikor megfigyelték.

  • További információ – Ha az erőforrás által mutatott viselkedéssel kapcsolatos részletek érhetők el, itt jelennek meg. Ebben a példában a "badvmtest" virtuális gép egy ismert bányászati készlet IP-címével kommunikált. Az Erőforrás adatai szakasz azt mutatja, hogy az IP-címhez négyszer csatlakozik az első kapcsolati idő és az utolsó kapcsolati idő között.

  • Műveletsáv – A riasztás vizsgálatának befejezésekor válasszon ki egy műveletet, amelyből megtudhatja, hogy a Partnerközpont mit talált. Ha kiválaszt egy műveletet, a riasztás feloldva lesz. A kiválasztott művelet jelzi a riasztás feloldásának okát . A megadott lehetőségek a következők:

    • Megjelölés megbízhatóként – Megvizsgálta az erőforrásokat, és vagy nem talált bizonyítékot arra vonatkozóan, hogy mit jelzett a riasztás, vagy az ügyféllel való ellenőrzéskor azt jelzi, hogy a viselkedés várható.
    • Megjelölés csalásként – Megvizsgálta az erőforrásokat, és megállapította, hogy a riasztás által jelzett viselkedést hajtják végre.

  • Erőforrások – A riasztás jelen szakaszában található hivatkozásokkal további információt kaphat a riasztásokról és a riasztások fogadásakor teendőkről.

    Képernyőkép egy riasztásról, ahol a lehetőségek közé tartozik a Megjelölés mint jogszerű vagy a Megjelölés csalásként lehetőség.

  • Erőforrások – További információ a riasztásokról és a riasztások fogadásakor teendőkről.

Válassza ki a riasztást a Riasztás részletei lap megnyitásához.

Műveletek a Riasztás részletei lapon

Példa a Riasztás részletei lapra :

Képernyőkép egy biztonsági riasztás aljáról, amelyen az előfizetés lemondása, az előfizetés kezelése vagy a Vissza a riasztásokhoz lehetőség látható.

A Riasztás részletei lap három műveletet mutat be.

  • Előfizetés lemondása – A művelet használatához globális rendszergazdai és rendszergazdai ügynöki szerepkörrel kell rendelkeznie. Ha a riasztás vizsgálata azt jelzi, hogy az Azure-előfizetést egy jogosulatlan fél előzi meg, az Előfizetés lemondása lehetőséget választva felszabadíthatja az Azure-előfizetés összes erőforrását, és megjelölheti az előfizetés összes adatát törlésre a megőrzési időszak után. A művelet végrehajtása előtt javasoljuk, hogy kommunikáljon az ügyféllel a riasztásról, és ha lehetséges, kérje meg a hozzájárulásukat az előfizetés lemondásához. Ha ezt a gombot választja, a következő megerősítési oldal jelenik meg, hogy megértse a művelet hatását. Válassza a Folytatás lemondással lehetőséget az Azure-előfizetés lemondásához. Ha a Folytatás lemondással lehetőséget választja, az előfizetés megszűnik, és az előfizetésre vonatkozó összes riasztást a Csalás okával oldja fel a rendszer.

    Képernyőkép az Előfizetés lemondása párbeszédpanelről a következő beállításokkal: Visszalépés és Folytatás lemondással.

    További információ: Azure-előfizetés lemondása.

  • Előfizetés kezelése – Az előfizetés kezelése művelet az Azure Management portálra viszi a rendszergazda nevében. Az ügyfél által biztosított hozzáférési szint alapján lehetséges, hogy tovább vizsgálhatja a riasztás részleteiben megjelölt erőforrásokat. További információ: Előfizetések és erőforrások kezelése az Azure-csomagban.

  • Vissza a riasztásokhoz – Vissza a riasztások fő irányítópultjára a riasztások listájával.

Műveletek a Riasztás lapon

A Riasztás lapon a riasztási lista felett két műveletet hajthat végre.

Képernyőkép a Riasztások lapról, valamint a végrehajtható műveletekről, beleértve az előfizetés lemondását és az exportálást.

  • Előfizetés lemondása – A művelet használatához globális rendszergazdai és rendszergazdai ügynöki szerepkörrel kell rendelkeznie. Ha a riasztás vizsgálata azt jelzi, hogy az Azure-előfizetést egy jogosulatlan fél előzi meg, az Előfizetés lemondása lehetőséget választva felszabadíthatja az Azure-előfizetés összes erőforrását, és megjelölheti az előfizetés összes adatát törlésre a megőrzési időszak után. A művelet végrehajtása előtt javasoljuk, hogy kommunikáljon az ügyféllel a riasztásról, és ha lehetséges, kérje meg a hozzájárulásukat az előfizetés lemondásához. Miután kiválasztotta ezt a gombot, megjelenik a következő megerősítési oldal, amely segít megérteni a művelet hatását. Válassza a Folytatás lemondással lehetőséget az Azure-előfizetés lemondásához.

    Képernyőkép az Előfizetés lemondása lapról, amelyen a Visszalépés vagy a Lemondás folytatása lehetőség látható.

  • Exportálás – Ha a riasztásokkal kapcsolatos összes részletes információt exportálni szeretné, az Exportálás művelet segítségével letöltheti a riasztási adatokat tartalmazó CSV-fájlt (vesszővel tagolt érték). Megjegyzés: Az exportálás egy CSV-fájlt hoz létre, amely csak a jelenleg megtekintett riasztásokat jeleníti meg. Módosítsa a Szűrő beállítást az exportálni kívánt riasztás megjelenítéséhez.

Kapcsolódó tartalom

Azure-csalások észlelése és értesítése