Mendeteksi dan menangani peringatan keamanan
Peran yang sesuai: Agen admin
Berlaku untuk: Tagihan Langsung Pusat Mitra dan Penyedia Tidak Langsung
Anda dapat berlangganan pemberitahuan keamanan baru untuk deteksi yang terkait dengan penyalahgunaan pihak yang tidak sah dan pengamanan akun. Pemberitahuan keamanan ini adalah salah satu dari banyak cara Microsoft menyediakan data yang Anda butuhkan untuk mengamankan penyewa pelanggan Anda. Anda dapat berlangganan pemberitahuan keamanan baru untuk deteksi yang terkait dengan penyalahgunaan pihak yang tidak sah dan pengamanan akun. Pemberitahuan keamanan ini adalah salah satu dari banyak cara Microsoft menyediakan data yang Anda butuhkan untuk mengamankan penyewa pelanggan Anda.
Penting
Sebagai mitra dalam program Penyedia Solusi Cloud (CSP), Anda bertanggung jawab atas konsumsi Azure pelanggan Anda, jadi penting bagi Anda untuk mengetahui penggunaan anomali dalam langganan Azure pelanggan Anda. Gunakan pemberitahuan keamanan Microsoft Azure untuk mendeteksi pola aktivitas penipuan dan penyalahgunaan di sumber daya Azure untuk membantu mengurangi paparan anda terhadap risiko transaksi online. Pemberitahuan keamanan Microsoft Azure tidak mendeteksi semua jenis aktivitas penipuan atau penyalahgunaan, jadi sangat penting bagi Anda untuk menggunakan metode pemantauan tambahan untuk membantu mendeteksi penggunaan anomali dalam langganan Azure pelanggan Anda. Untuk mempelajari selengkapnya, lihat Mengelola nonpembayaran, penipuan, atau penyalahgunaan dan Mengelola akun pelanggan.
Tindakan yang diperlukan: Dengan pemantauan dan kesadaran sinyal, Anda dapat segera mengambil tindakan untuk menentukan apakah perilaku tersebut sah atau penipuan. Jika perlu, Anda dapat menangguhkan sumber daya Azure atau langganan Azure yang terpengaruh untuk mengurangi masalah.
Pastikan bahwa alamat email pilihan untuk Agen Admin Mitra Anda sudah diperbarui, sehingga dapat diberi tahu bersama dengan kontak keamanan.
Berlangganan pemberitahuan pemberitahuan keamanan
Anda dapat berlangganan berbagai pemberitahuan mitra berdasarkan peran Anda.
Pemberitahuan keamanan memberi tahu Anda saat langganan Azure pelanggan Anda menunjukkan kemungkinan aktivitas anomali.
Mendapatkan pemberitahuan melalui email
- Masuk ke Pusat Mitra dan pilih Pemberitahuan (bel).
- Pilih Preferensi saya.
- Atur alamat email pilihan jika Anda belum melakukannya.
- Atur bahasa pilihan untuk pemberitahuan jika Anda belum melakukannya.
- Pilih Edit di samping Preferensi pemberitahuan email.
- Centang semua kotak yang berkaitan dengan Pelanggan di kolom Ruang Kerja. (Untuk berhenti berlangganan, batalkan pilihan bagian transaksi di bawah ruang kerja pelanggan.)
- Pilih Simpan.
Kami mengirim pemberitahuan keamanan saat mendeteksi kemungkinan aktivitas pemberitahuan keamanan atau penyalahgunaan di beberapa langganan Microsoft Azure pelanggan Anda. Ada tiga jenis email:
- Ringkasan harian pemberitahuan keamanan yang belum terselesaikan (jumlah mitra, pelanggan, dan langganan yang terpengaruh oleh berbagai jenis pemberitahuan)
- Pemberitahuan keamanan mendekati real-time. Untuk mendapatkan daftar langganan Azure yang memiliki potensi masalah keamanan, lihat Mendapatkan peristiwa penipuan.
- Pemberitahuan saran keamanan mendekati real-time. Pemberitahuan ini memberikan visibilitas ke dalam pemberitahuan yang dikirim ke pelanggan saat ada pemberitahuan keamanan.
Penyedia Solusi Cloud (CSP) mitra tagihan langsung dapat melihat lebih banyak pemberitahuan untuk aktivitas, misalnya: penggunaan komputasi anomali, penambangan kripto, penggunaan Azure Pembelajaran Mesin, dan pemberitahuan saran kesehatan layanan. Penyedia Solusi Cloud (CSP) mitra tagihan langsung dapat melihat lebih banyak pemberitahuan untuk aktivitas, misalnya: penggunaan komputasi anomali, penambangan kripto, penggunaan Azure Pembelajaran Mesin, dan pemberitahuan saran kesehatan layanan.
Mendapatkan pemberitahuan melalui webhook
Mitra dapat mendaftar ke peristiwa webhook: azure-fraud-event-detected untuk menerima pemberitahuan untuk peristiwa perubahan sumber daya. Untuk mempelajari selengkapnya, lihat Peristiwa webhook Pusat Mitra.
Melihat dan merespons pemberitahuan melalui dasbor Pemberitahuan Keamanan
Mitra CSP dapat mengakses dasbor Pemberitahuan Keamanan Pusat Mitra untuk mendeteksi dan merespons pemberitahuan. Untuk mempelajari selengkapnya, lihat Merespons peristiwa keamanan dengan dasbor Pemberitahuan Keamanan Pusat Mitra. Mitra CSP dapat mengakses dasbor Pemberitahuan Keamanan Pusat Mitra untuk mendeteksi dan merespons pemberitahuan. Untuk mempelajari selengkapnya, lihat Merespons peristiwa keamanan dengan dasbor Pemberitahuan Keamanan Pusat Mitra.
Mendapatkan detail pemberitahuan melalui API
Menggunakan Microsoft Graph Security Alerts API (Beta) baru
Manfaat: Mulai Mei 2024, versi pratinjau Microsoft Graph Security Alerts API tersedia. API ini memberikan pengalaman gateway API terpadu di seluruh layanan Microsoft lain seperti MICROSOFT Entra ID, Teams, dan Outlook.
Persyaratan onboarding: Mitra CSP yang melakukan onboarding diperlukan untuk menggunakan SECURITY Alerts Beta API baru. Untuk mempelajari selengkapnya, lihat Menggunakan API pemberitahuan keamanan mitra di Microsoft Graph.
Versi Microsoft Graph Security Alerts API V1 akan dirilis pada Juli 2024.
| Gunakan huruf besar | API |
|---|---|
| Onboard ke Microsoft Graph API untuk mendapatkan Token Akses | Mendapatkan akses atas nama pengguna |
| Mencantumkan Pemberitahuan Keamanan untuk mendapatkan visibilitas ke dalam pemberitahuan | Mencantumkan securityAlerts |
| Dapatkan Pemberitahuan Keamanan untuk mendapatkan visibilitas ke dalam pemberitahuan tertentu berdasarkan param kueri yang dipilih. | Mendapatkan partnerSecurityAlert |
| Dapatkan token untuk memanggil API Pusat Mitra untuk informasi referensi | Aktifkan model aplikasi yang aman |
| Mendapatkan informasi Profil Organisasi Anda | Mendapatkan profil organisasi |
| Dapatkan informasi Pelanggan Anda dengan ID | Mendapatkan pelanggan berdasarkan ID |
| Mendapatkan informasi Penjual Tidak Langsung Pelanggan berdasarkan ID | Mendapatkan pengecer tidak langsung pelanggan |
| Dapatkan informasi Langganan Pelanggan berdasarkan ID | Mendapatkan langganan menurut ID |
| Memperbarui status pemberitahuan dan mengatasi saat dimitigasi | Memperbarui partnerSecurityAlert |
Dukungan untuk API FraudEvents yang ada
Penting
API peristiwa penipuan warisan akan ditolak pada CY Q4 2024. Untuk detail selengkapnya, silakan lihat pengumuman Keamanan Pusat Mitra bulanan. Mitra CSP harus bermigrasi ke Microsoft Graph Security Alerts API baru, yang sekarang tersedia dalam pratinjau.
Selama periode transisi, mitra CSP dapat terus menggunakan API FraudEvents untuk mendapatkan sinyal deteksi ekstra menggunakan X-NewEventsModel. Dengan model ini, Anda bisa mendapatkan jenis pemberitahuan baru saat ditambahkan ke sistem, misalnya, penggunaan komputasi anomali, penambangan kripto, penggunaan Azure Pembelajaran Mesin, dan pemberitahuan saran kesehatan layanan. Jenis pemberitahuan baru dapat ditambahkan dengan pemberitahuan terbatas, karena ancaman juga berkembang. Jika Anda menggunakan penanganan khusus melalui API untuk jenis pemberitahuan yang berbeda, pantau API ini untuk perubahan:
Apa yang harus dilakukan saat Anda menerima pemberitahuan pemberitahuan keamanan
Daftar periksa berikut ini menyediakan langkah berikutnya yang disarankan untuk apa yang harus dilakukan saat Anda menerima pemberitahuan keamanan.
- Periksa untuk memastikan pemberitahuan email valid. Saat kami mengirim pemberitahuan keamanan, pemberitahuan tersebut dikirim dari Microsoft Azure, dengan alamat email:
no-reply@microsoft.com. Mitra hanya menerima pemberitahuan dari Microsoft. - Saat diberi tahu, Anda juga dapat melihat pemberitahuan email di portal Pusat Tindakan. Pilih ikon bel untuk melihat pemberitahuan Pusat Tindakan.
- Tinjau langganan Azure. Tentukan apakah aktivitas dalam langganan sah dan diharapkan, atau apakah aktivitas tersebut mungkin disebabkan oleh penyalahgunaan atau penipuan yang tidak sah.
- Beri tahu kami apa yang Anda temukan, baik melalui dasbor Pemberitahuan Keamanan atau dari API. Untuk mempelajari selengkapnya tentang menggunakan API, lihat Memperbarui status peristiwa penipuan. Gunakan kategori berikut untuk menjelaskan apa yang Anda temukan:
- Sah - Aktivitas diharapkan atau sinyal positif palsu.
- Penipuan - Aktivitas ini disebabkan oleh penyalahgunaan atau penipuan yang tidak sah.
- Abaikan - Aktivitas adalah pemberitahuan yang lebih lama dan harus diabaikan. Untuk mempelajari lebih lanjut, lihat Mengapa mitra menerima Pemberitahuan Keamanan yang lebih lama?.
Langkah lain apa yang dapat Anda ambil untuk menurunkan risiko kompromi?
- Aktifkan autentikasi multifaktor (MFA) pada pelanggan dan penyewa mitra Anda. Akun yang memiliki izin untuk mengelola langganan Azure pelanggan harus mematuhi MFA. Untuk mempelajari lebih lanjut, lihat praktik terbaik keamanan Penyedia Solusi Cloud dan Praktik terbaik keamanan pelanggan.
- Siapkan pemberitahuan untuk memantau izin akses kontrol akses berbasis peran (RBAC) Azure Anda pada langganan Azure pelanggan. Untuk mempelajari selengkapnya, lihat Paket Azure - Mengelola langganan dan sumber daya.
- Mengaudit perubahan izin pada langganan Azure pelanggan Anda. Tinjau log aktivitas Azure Monitor untuk aktivitas terkait langganan Azure.
- Tinjau anomali pengeluaran terhadap anggaran pengeluaran Anda di manajemen biaya Azure.
- Mendidik dan bekerja sama dengan pelanggan untuk mengurangi kuota yang tidak digunakan untuk mencegah kerusakan yang diizinkan pada langganan Azure: Gambaran umum kuota - Kuota Azure.
- Mengirimkan permintaan untuk mengelola kuota Azure: Cara membuat permintaan dukungan Azure - Dukungan Azure
- Tinjau penggunaan kuota saat ini: Referensi REST API Kuota Azure
- Jika Anda menjalankan beban kerja penting yang memerlukan kapasitas tinggi, pertimbangkan reservasi kapasitas sesuai permintaan atau instans komputer virtual cadangan Azure
Apa yang harus Anda lakukan jika langganan Azure telah disusupi?
Ambil tindakan segera untuk melindungi akun dan data Anda. Berikut adalah beberapa saran dan tips untuk merespons dengan cepat dan berisi potensi insiden untuk mengurangi dampaknya dan risiko bisnis secara keseluruhan.
Memulihkan identitas yang disusupi di lingkungan cloud sangat penting untuk memastikan keamanan keseluruhan sistem berbasis cloud. Identitas yang disusupi dapat memberi penyerang akses ke data dan sumber daya sensitif, sehingga penting untuk segera mengambil tindakan untuk melindungi akun dan data.
Segera ubah kredensial untuk:
- Admin penyewa dan akses RBAC pada Langganan Azure Apa itu kontrol akses berbasis peran Azure (Azure RBAC)?
- Ikuti panduan kata sandi. Rekomendasi kebijakan kata sandi
- Pastikan semua admin penyewa dan pemilik RBAC memiliki MFA terdaftar dan diberlakukan
Tinjau dan verifikasi semua email pemulihan kata sandi pengguna admin global dan nomor telepon dalam ID Microsoft Entra. Perbarui jika perlu. Rekomendasi kebijakan kata sandi
Tinjau pengguna, penyewa, dan langganan mana yang berisiko dalam portal Azure.
- Selidiki risiko dengan masuk ke ID Microsoft Entra untuk meninjau Laporan Risiko Perlindungan Identitas. Untuk mempelajari selengkapnya, lihat Menyelidiki risiko Microsoft Entra ID Protection
- Persyaratan Lisensi untuk Perlindungan Identitas
- Memulihkan risiko dan membuka blokir pengguna
- Pengalaman pengguna dengan Microsoft Entra ID Protection
Tinjau log masuk Microsoft Entra pada penyewa pelanggan untuk melihat pola masuk yang tidak biasa sekitar waktu saat pemberitahuan keamanan dipicu.
Setelah aktor jahat dikeluarkan, bersihkan sumber daya yang disusupi. Perhatikan langganan yang terpengaruh untuk memastikan tidak ada aktivitas mencurigakan lebih lanjut. Sebaiknya tinjau log dan jejak audit Anda secara teratur untuk memastikan bahwa akun Anda aman.
- Periksa aktivitas yang tidak sah di Log Aktivitas Azure, misalnya, perubahan pada penagihan, penggunaan untuk item baris konsumsi komersial yang tidak ditagih, atau konfigurasi.
- Tinjau anomali pengeluaran terhadap anggaran pengeluaran pelanggan dalam manajemen biaya Azure.
- Nonaktifkan atau hapus sumber daya yang disusupi:
- Identifikasi dan keluarkan pelaku ancaman: Gunakan sumber daya keamanan Microsoft dan Azure untuk membantu memulihkan dari penyusupan identitas sistemik.
- Periksa Log Aktivitas Azure perubahan tingkat langganan apa pun.
- Batalkan alokasi dan hapus sumber daya apa pun yang dibuat oleh pihak yang tidak berwenang. Tonton Cara menjaga langganan Azure Anda tetap bersih | Tips dan Trik Azure (video)
- Anda dapat membatalkan langganan Azure pelanggan melalui API (Membatalkan hak Azure) atau melalui portal Pusat Mitra.
- Hubungi dukungan Azure segera dan laporkan insiden
- Membersihkan penyimpanan setelah peristiwa: Menemukan dan menghapus disk terkelola dan tidak terkelola Azure yang tidak terpasang - Azure Virtual Machines
Mencegah kompromi akun lebih mudah daripada memulihkannya. Oleh karena itu, penting untuk memperkuat postur keamanan Anda.
- Tinjau kuota pada langganan Azure pelanggan dan kirimkan permintaan untuk mengurangi kuota yang tidak digunakan. Untuk informasi selengkapnya, lihat Mengurangi Kuota.
- Tinjau dan terapkan praktik terbaik keamanan Penyedia Solusi Cloud.
- Bekerja samalah dengan pelanggan Anda untuk mempelajari dan menerapkan praktik terbaik keamanan Pelanggan.
- Pastikan Defender untuk Clouddiaktifkan (Ada tingkat gratis yang tersedia untuk layanan ini).
- Pastikan Defender untuk Clouddiaktifkan (Ada tingkat gratis yang tersedia untuk layanan ini).
Untuk informasi selengkapnya, lihat artikel dukungan.
Alat lainnya untuk pemantauan
Cara menyiapkan pelanggan akhir Anda
Microsoft mengirim pemberitahuan ke langganan Azure, yang masuk ke pelanggan akhir Anda. Bekerja dengan pelanggan akhir Anda untuk memastikan bahwa mereka dapat bertindak dengan tepat dan diberi tahu tentang berbagai masalah keamanan dalam lingkungan mereka:
- Siapkan pemberitahuan penggunaan dengan Azure Monitor atau Azure Cost Management.
- Siapkan Pemberitahuan Kesehatan Layanan untuk mengetahui pemberitahuan lain dari Microsoft tentang keamanan dan masalah terkait lainnya.
- Bekerja dengan Admin Penyewa organisasi Anda (jika ini tidak dikelola oleh Mitra) untuk menerapkan peningkatan langkah-langkah keamanan pada penyewa Anda (lihat bagian berikut).
Informasi tambahan untuk melindungi penyewa Anda
- Tinjau dan terapkan praktik terbaik keamanan operasional untuk aset Azure Anda.
- Terapkan Autentikasi Multifaktor untuk memperkuat postur keamanan identitas Anda.
- Terapkan kebijakan risiko dan pemberitahuan untuk pengguna berisiko Tinggi dan masuk:Apa itu Microsoft Entra ID Protection?.
Jika Anda menduga penggunaan langganan Azure yang tidak sah atau pelanggan Anda, libatkan Dukungan Microsoft Azure sehingga Microsoft dapat membantu mempercepat pertanyaan atau kekhawatiran lainnya.
Jika Anda memiliki pertanyaan khusus mengenai Pusat Mitra, kirimkan permintaan dukungan di Pusat Mitra. Untuk informasi selengkapnya: Dapatkan dukungan di Pusat Mitra.
Periksa pemberitahuan keamanan di bawah Log aktivitas
- Masuk ke Pusat Mitra dan pilih ikon pengaturan (gerigi) di sudut kanan atas, lalu pilih ruang kerja Pengaturan akun.
- Navigasi ke Log aktivitas di panel kiri.
- Atur Tanggal Dari dan Ke di filter atas.
- Di Filter menurut Jenis Operasi, pilih Peristiwa Penipuan Azure Terdeteksi. Anda akan dapat melihat semua pemberitahuan keamanan Peristiwa yang terdeteksi untuk periode yang dipilih.
Mengapa mitra menerima pemberitahuan keamanan Azure yang lebih lama?
Microsoft telah mengirim pemberitahuan Penipuan Azure sejak Desember 2021. Namun, di masa lalu, pemberitahuan pemberitahuan hanya didasarkan pada preferensi keikutsertaan, di mana mitra harus memilih untuk menerima pemberitahuan. Kami telah mengubah perilaku ini. Mitra sekarang harus menyelesaikan semua pemberitahuan penipuan (termasuk pemberitahuan lama) yang terbuka. Untuk mengamankan postur keamanan Anda dan pelanggan Anda, ikuti praktik terbaik keamanan Penyedia Solusi Cloud.
Microsoft mengirim ringkasan penipuan harian (ini adalah jumlah mitra, pelanggan, dan langganan yang terpengaruh) jika ada pemberitahuan penipuan aktif yang tidak terselesaikan dalam 60 hari terakhir. Microsoft mengirim ringkasan penipuan harian (ini adalah jumlah mitra, pelanggan, dan langganan yang terpengaruh) jika ada pemberitahuan penipuan aktif yang tidak terselesaikan dalam 60 hari terakhir.
Mengapa saya tidak melihat semua pemberitahuan?
Pemberitahuan pemberitahuan keamanan terbatas pada mendeteksi pola tindakan anomali tertentu di Azure. Pemberitahuan pemberitahuan keamanan tidak mendeteksi dan tidak dijamin mendeteksi semua perilaku anomali. Sangat penting bagi Anda untuk menggunakan metode pemantauan lain untuk membantu mendeteksi penggunaan anomali dalam langganan Azure pelanggan Anda, seperti anggaran pengeluaran Azure bulanan. Jika Anda menerima pemberitahuan yang signifikan dan negatif palsu, hubungi Dukungan Mitra dan berikan informasi berikut:
- ID Penyewa Mitra
- ID Penyewa Pelanggan
- ID Langganan
- ID Sumber Daya
- Tanggal akhir mulai dan dampak dampak
Langkah berikutnya
- Integrasikan dengan SECURITY Alerts API dan daftarkan webhook.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk