Condividi tramite

Rispondere agli eventi di sicurezza con il dashboard Avvisi di sicurezza

  • Articolo

Ruoli appropriati: Agente amministratore

Si applica a: partner con fatturazione diretta e provider indiretti del Centro per i partner

Il dashboard Avvisi di sicurezza del Centro per i partner consente di rispondere rapidamente alla sicurezza, alle frodi e ad altri eventi che si verificano nel Centro per i partner o nel tenant del cliente.

API

Se nel Centro per i partner sono presenti più tenant di Microsoft Entra, è possibile usare le API seguenti per ottenere e aggiornare gli avvisi anziché usare il dashboard Avvisi di sicurezza:

Prerequisiti

Per usare il dashboard Avvisi di sicurezza del Centro per i partner, all'account utente deve essere assegnato il ruolo Agente di amministrazione.

Importanza della risposta tempestiva agli avvisi

Quando viene creato un avviso nel dashboard, è fondamentale valutare e attenuare l'evento imprevisto che ha causato l'avviso il prima possibile. Come principio guida, è consigliabile rispondere agli avvisi entro un'ora. Per il tipo di illecito degli avvisi, più tempo è necessario per rispondere e attenuare l'evento imprevisto che ha causato l'avviso, maggiore è il potenziale impatto finanziario.

Apertura del dashboard

Per aprire il dashboard Avvisi di sicurezza del Centro per i partner:

  1. Accedere al Centro per i partner come utente con il ruolo agente di amministrazione.
  2. Selezionare l'area di lavoro Insights .
  3. Nel menu a sinistra, in Sicurezza, selezionare Avvisi.

È anche possibile usare questo collegamento per passare direttamente al dashboard.

Visualizzazione degli avvisi

Il dashboard mostra informazioni sulle categorie di avviso seguenti.

Screenshot che mostra il dashboard Avvisi di sicurezza del Centro per i partner, inclusi il tempo di risposta medio, i nuovi eventi di questa settimana, risolti e non risolti.

  • Tempo medio: tempo medio di risposta e risoluzione degli avvisi negli ultimi 30 giorni.
  • Nuovi eventi questa settimana: numero di nuovi avvisi per gli ultimi sette giorni.
  • Risolto: numero di avvisi risolti con un motivo specificato (ad esempio, Legittimo o Illecito).
  • Non risolto: numero di avvisi non risolti che richiedono attenzione.

La sezione inferiore del dashboard elenca gli avvisi che influiscono sul tenant del Centro per i partner in cui è stato eseguito l'accesso.

Screenshot che mostra il dashboard degli avvisi di sicurezza e le azioni che è possibile eseguire, tra cui Annulla sottoscrizione ed Esporta.

La tabella include le colonne seguenti:

  • Nome avviso: informazioni generali su ciò che è stato rilevato.
  • ID sottoscrizione: identificatore visualizzato quando viene rilevato un avviso in una sottoscrizione di Azure specifica.
  • ID avviso: identificatore univoco per l'avviso.
  • Stato avviso: stato dell'avviso (attivo o risolto).
  • Primo osservato: la prima volta che è apparso l'avviso.
  • Ultimo osservato: l'ora più recente in cui è apparso l'avviso.
  • Tipo di avviso: tipo di attività rilevata e che ha causato l'avviso. Esistono due tipi di avviso:
    • Notifica di Azure: indica che un messaggio è stato inviato al cliente della sottoscrizione di Azure interessata e visualizzato come notifica di integrità dei servizi. Nei dettagli dell'avviso viene visualizzata una copia di questo messaggio.
    • Utilizzo di Azure: indica un aumento insolito dell'attività nella sottoscrizione di Azure o un'attività anomala che si verifica nella sottoscrizione, ad esempio il mining di criptovaluta.
  • Gravità: livello di urgenza nella risposta all'avviso.

È possibile usare l'opzione Filtro per modificare gli avvisi visualizzati nel dashboard degli avvisi .

È possibile usare la funzionalità Di ricerca per cercare in tutti gli avvisi le informazioni immesse nella casella. I risultati della ricerca includono le informazioni seguenti:

  • ID sottoscrizione
  • ID di avviso
  • Nome cliente

Azioni nella pagina dei dettagli dell'avviso

Per visualizzare altri dettagli su un avviso, selezionare il nome dell'avviso. Ad esempio, l'avviso di esempio seguente mostra il comportamento correlato al mining di criptovaluta che si verifica in una sottoscrizione di Azure.

Screenshot che mostra i dettagli dell'avviso relativi al mining di criptovaluta.

Sezione superiore

Nella parte superiore della pagina dei dettagli dell'avviso vengono visualizzate informazioni sul cliente e sul rivenditore (se applicabile).

Descrizione avviso

La sezione Descrizione avviso offre una panoramica del motivo per cui si è verificato l'avviso, insieme ai passaggi da analizzare.

Risorse interessate

La sezione Risorse interessate contiene due azioni:

  • Contrassegnare come legittimo: le risorse sono state esaminate e non sono state trovate prove di ciò che l'avviso ha indicato o verificato con il cliente che il comportamento è previsto.
  • Contrassegna come frode: è stata esaminata le risorse e si è scoperto che stavano eseguendo il comportamento indicato dall'avviso.

Al termine dell'indagine sull'avviso, selezionare un'azione per indicare al Centro per i partner gli elementi individuati. La selezione di un'azione contrassegna l'avviso Risolto. L'azione selezionata indica il motivo (ovvero il valore Motivo ) per cui si sta risolvendo l'avviso.

Informazioni sulla risorsa

La sezione Informazioni sulla risorsa fornisce informazioni dettagliate sulle risorse coinvolte nel rilevamento che ha causato l'avviso. In questo esempio è presente una macchina virtuale denominata badvmtest nel gruppo di risorse denominato testserver. I valori Ora prima connessione e Ora ultima connessione indicano quando è stata rilevata per la prima volta questa risorsa che contatta un pool di data mining noto e l'ora più recente in cui è stata osservata.

Informazioni aggiuntive

La sezione Informazioni aggiuntive fornisce informazioni dettagliate sul comportamento esposto dalla risorsa, se disponibile. In questo esempio la macchina virtuale badvmtest ha comunicato con l'indirizzo IP di un pool di data mining noto. La sezione Informazioni sulla risorsa mostra che è connessa all'indirizzo IP quattro volte tra l'ora della prima connessione e l'ora dell'ultima connessione.

Risorse

Nella sezione Risorse usare i collegamenti per altre informazioni sugli avvisi e sulle operazioni da eseguire quando si riceve un avviso.

Sezione inferiore

Nella parte inferiore della pagina dei dettagli dell'avviso sono visualizzati tre pulsanti per le azioni che è possibile eseguire.

Screenshot che mostra la parte inferiore di un avviso di sicurezza, con opzioni per annullare una sottoscrizione, gestire una sottoscrizione o tornare agli avvisi.

  • Annullare la sottoscrizione: per usare questa azione, è necessario disporre sia dei ruoli amministratore globale che dell'agente di amministrazione. Se l'indagine sull'avviso indica che una parte non autorizzata ha superato la sottoscrizione di Azure, è possibile selezionare Annulla sottoscrizione per deallocare tutte le risorse nella sottoscrizione di Azure e contrassegnare tutti i dati nella sottoscrizione per l'eliminazione dopo il periodo di conservazione.

    Prima di eseguire questa azione, è consigliabile comunicare con il cliente sull'avviso e, se possibile, ottenere il consenso per annullare la sottoscrizione. Quando si seleziona il pulsante, viene visualizzata una finestra di dialogo che chiede di confermare l'impatto di questa azione.

    Screenshot che mostra la finestra di dialogo per annullare una sottoscrizione, con opzioni per tornare indietro e continuare con l'annullamento.

    Per annullare la sottoscrizione di Azure, selezionare Continua con l'annullamento. Quando si seleziona Continua con l'annullamento, la sottoscrizione viene annullata e tutti gli avvisi per tale sottoscrizione vengono contrassegnati come Risolti con il motivo illecito.

    Per altre informazioni, vedere Annullare una sottoscrizione di Azure.

  • Gestisci sottoscrizione: questa azione consente di accedere al portale di Azure usando l'amministratore per conto di (AOBO). In base al livello di accesso concesso dal cliente, potrebbe essere possibile analizzare ulteriormente le risorse indicate nei dettagli dell'avviso. Per altre informazioni, vedere Gestire sottoscrizioni e risorse nel piano di Azure.

  • Torna agli avvisi: questa azione consente di tornare al dashboard Avvisi di sicurezza con l'elenco di avvisi.

Azioni nel dashboard Avvisi di sicurezza

Sopra l'elenco di avvisi nel dashboard Avvisi di sicurezza sono due azioni che è possibile eseguire.

Screenshot che mostra il dashboard Avvisi di sicurezza e le opzioni per annullare una sottoscrizione ed esportare le informazioni.

  • Annullare la sottoscrizione: per usare questa azione, è necessario disporre sia dei ruoli amministratore globale che dell'agente di amministrazione. Se l'indagine sull'avviso indica che una parte non autorizzata ha superato la sottoscrizione di Azure, è possibile selezionare Annulla sottoscrizione per deallocare tutte le risorse nella sottoscrizione di Azure e contrassegnare tutti i dati nella sottoscrizione per l'eliminazione dopo il periodo di conservazione.

    Prima di eseguire questa azione, è consigliabile comunicare con il cliente sull'avviso e, se possibile, ottenere il consenso per annullare la sottoscrizione. Quando si seleziona il pulsante, viene visualizzata una finestra di dialogo che chiede di confermare l'impatto di questa azione.

    Per annullare la sottoscrizione di Azure, selezionare Continua con l'annullamento.

    Screenshot che mostra la finestra di dialogo di conferma per annullare una sottoscrizione.

  • Esporta: se si desidera esportare tutte le informazioni dettagliate sugli avvisi, è possibile usare l'azione Esporta per scaricare un file con valori delimitati da virgole (CSV) contenente le informazioni sull'avviso.

    Questa azione genera un file CSV con solo gli avvisi attualmente visualizzati. Per modificare gli avvisi da esportare, usare l'opzione Filtro .

Contenuto correlato