セキュリティ警告の検出と応答
対象のロール: 管理エージェント
適用対象: パートナー センターの直接請求と間接プロバイダー
2023 年 5 月以降、承認されていないパーティーの不正使用とアカウントの引き継ぎに関連する検出に関する新しいセキュリティ アラートをサブスクライブできます。 このセキュリティ アラートは、Microsoft が顧客のテナントをセキュリティで保護するために必要なデータを提供するさまざまな方法の 1 つです。
重要
クラウド ソリューション プロバイダー (CSP) プログラムのパートナーは、顧客の Azure 消費に責任を負うので、顧客の Azure サブスクリプションで異常な使用を認識することが重要です。 Microsoft Azure セキュリティ アラートを使用して、Azure リソース内の不正なアクティビティや誤用のパターンを検出し、オンライン トランザクション リスクへの露出を減らすのに役立ちます。 Microsoft Azure のセキュリティ アラートでは、すべての種類の不正なアクティビティや誤用が検出されるわけではありません。そのため、追加の監視方法を使用して、顧客の Azure サブスクリプションの異常な使用状況を検出することが重要です。 詳細については、「未払い、詐欺、不正使用の管理」および「顧客アカウントの管理」を参照してください。
必要なアクション: 監視とシグナル認識を使用すると、行動が正当か不正かを判断するアクションを直ちに実行できます。 必要に応じて、影響を受ける Azure リソース または Azure サブスクリプションを 中断して問題を軽減できます。
パートナー 管理 エージェントの優先メール アドレスが最新であることを確認して、セキュリティ連絡先と共に通知できるようにします。
セキュリティ アラート通知をサブスクライブする
ロールに基づいて、さまざまなパートナー通知をサブスクライブできます。
お客様の Azure サブスクリプションに異常なアクティビティが表示されると、セキュリティ アラートによって通知されます。
電子メールでアラートを取得する
- パートナー センターにサインインし、[通知 (ベル)] を選択します。
- [My Preferences]\(基本設定\) を選択します。
- まだ設定していない場合は、優先メール アドレスを設定します。
- まだ行っていない場合は、通知の優先言語を設定します。
- [電子メール通知設定] の横にある [編集] を選択します。
- [ワークスペース] 列の [顧客] に関連するすべてのボックスをオンにします。 (サブスクリプションを解除するには、顧客ワークスペースのトランザクション セクションの選択を解除します)。
- [保存] を選択します。
お客様の一部の Microsoft Azure サブスクリプションで発生する可能性のあるセキュリティ アラート アクティビティまたは誤用を検出すると、セキュリティ アラートが送信されます。 メールには次の 3 種類があります。
- 未解決のセキュリティ アラートの毎日の概要 (さまざまなアラート の種類の影響を受けるパートナー、顧客、サブスクリプションの数)
- ほぼリアルタイムのセキュリティ アラート。 潜在的なセキュリティ上の懸念がある Azure サブスクリプションの一覧を取得するには、「詐欺イベントを取得する」を参照してください。
- ほぼリアルタイムのセキュリティ アドバイザリ通知。 これらの通知は、セキュリティ アラートが発生したときに顧客に送信された通知を可視化します。
CSP 直接請求パートナーは、異常なコンピューティング使用量、暗号化マイニング、Azure Machine ラーニング使用状況、サービス正常性アドバイザリ通知など、アクティビティに関するアラートをさらに確認できます。
Webhook を使用してアラートを取得する
2023 年 1 月以降、パートナーは Webhook イベントに登録して、 azure-fraud-event-detected
リソース変更イベントのアラートを受信できます。 詳細については、パートナー センターの Webhook イベントに関するページを参照してください。
[セキュリティ アラート] ダッシュボードを使用してアラートを表示して対応する
2023 年 5 月以降、CSP パートナーはパートナー センター のセキュリティ アラート ダッシュボード にアクセスして、アラートを検出して対応できます。 詳細については、「パートナー センターのセキュリティ アラート ダッシュボードを使用してセキュリティ イベントに応答する」を参照してください。
API を使用してアラートの詳細を取得する
2023 年 5 月の時点で、CSP パートナーは FraudEvents API を使用して、X-NewEventsModel を使用して追加の検出シグナルを取得できます。 このモデルでは、異常なコンピューティング使用量、暗号化マイニング、Azure Machine ラーニング使用状況、サービス正常性アドバイザリ通知など、システムに追加された新しい種類のアラートを取得できます。 脅威も進化しているため、限られた通知で新しい種類のアラートを追加できます。 さまざまなアラートの種類に対して API を介して特別な処理を使用する場合は、次の API で変更を監視します。
セキュリティ アラート通知を受け取ったときに実行する操作
次のチェックリストでは、セキュリティ通知を受け取ったときに何を行うかについて、推奨される次の手順を示します。
- 電子メール通知が有効であることを確認します。 セキュリティ アラートを送信すると、次の電子メール アドレス
no-reply@microsoft.com
を使用して Microsoft Azure から送信されます。 パートナーは Microsoft からのみ通知を受け取ります。 - 通知が表示されたら、アクション センター ポータルで電子メール アラートを確認することもできます。 ベル アイコンを選択すると、アクション センターのアラートが表示されます。
- Azure サブスクリプションを確認します。 サブスクリプション内のアクティビティが正当で予想されるかどうか、またはアクティビティが不正使用または不正行為によるものである可能性があるかどうかを判断します。
- セキュリティ アラート ダッシュボードまたは API から、見つかった内容をお知らせください。 API の使用の詳細については、「不正アクセスイベントの状態を更新する」を参照してください。 見つかった内容を説明するには、次のカテゴリを使用します。
- 正当 - アクティビティが予期されているか、誤検知シグナルです。
- 不正アクセス - このアクティビティは、不正な不正使用または不正使用が原因です。
- 無視 - アクティビティは古いアラートであり、無視する必要があります。 詳細については、「パートナーが古いセキュリティ アラートを受信する理由」を参照してください。
侵害のリスクを減らすために、どのような追加の手順を実行できますか?
- 顧客とパートナーのテナントで多要素認証 (MFA) を有効にします。 顧客の Azure サブスクリプションを管理するアクセス許可を持つアカウントは、MFA に準拠している必要があります。 詳細については、クラウド ソリューション プロバイダーセキュリティのベスト プラクティスとカスタマー セキュリティのベスト プラクティスに関するページを参照してください。
- アラートを設定して、顧客の Azure サブスクリプションに対する Azure ロールベースのアクセス制御 (RBAC) アクセス許可を監視します。 詳細については、「Azure プラン - サブスクリプションとリソースの管理」を参照してください。
- 顧客の Azure サブスクリプションに対するアクセス許可の変更を監査します。 Azure サブスクリプション関連の アクティビティの Azure Monitor アクティビティ ログ を確認します。
- Azure コスト管理の支出予算に対する支出の異常を 確認します。
- Azure サブスクリプションで許容される損害を防ぐために、未使用のクォータを減らすよう、お客様に教育と協力を行います: クォータの概要 - Azure クォータ。
- Azure クォータを管理するための要求を送信する: Azure サポート要求を作成する方法 - Azure サポート容易性
- 現在のクォータ使用量を確認する: Azure クォータ REST API リファレンス
- 高容量を必要とする重要なワークロードを実行している場合は、オンデマンド容量予約または Azure 予約仮想マシン インスタンスを検討してください
Azure サブスクリプションが侵害された場合の対処方法
アカウントとデータを保護するためのアクションを直ちに実行します。 影響と全体的なビジネス リスクを軽減するために、迅速に対応し、潜在的なインシデントを含むいくつかの提案とヒントを次に示します。
クラウド環境で侵害された ID を 修復することは、クラウドベースシステムの全体的なセキュリティを確保するために重要です。 侵害された ID は、攻撃者に機密データとリソースへのアクセスを提供する可能性があるため、アカウントとデータを保護するために直ちにアクションを実行することが不可欠です。
次の資格情報をすぐに変更します。
- Azure サブスクリプション でのテナント管理者と RBAC アクセス: Azure ロールベースのアクセス制御 (Azure RBAC) とは
- パスワードのガイダンスに従います。 パスワード ポリシーの推奨事項
- すべてのテナント管理者と RBAC 所有者が MFA を登録して適用していることを確認する
Microsoft Entra ID 内のすべてのグローバル管理者ユーザー パスワード回復メールと電話番号を確認して確認します。 必要に応じて更新します。 パスワード ポリシーの推奨事項
Azure portal 内で危険にさらされているユーザー、テナント、およびサブスクリプションを確認します。
- Microsoft Entra ID に移動して、Identity Protection のリスク レポートを確認して、リスクを 調査します。 詳細については、「リスクMicrosoft Entra ID 保護の調査」を参照してください。
- Identity Protection のライセンス要件
- リスクを修復してユーザーをブロック解除する
- Microsoft Entra ID Protection のユーザー エクスペリエンス
顧客テナントの Microsoft Entra サインイン ログ を確認して、セキュリティ アラートがトリガーされる頃の異常なサインイン パターンを確認します。
悪意のあるアクターが削除されたら、侵害されたリソースをクリーンします。 影響を受けるサブスクリプションを注意深く監視して、それ以上疑わしいアクティビティがないことを確認します。 また、アカウントが安全であることを確認するために、ログと監査証跡を定期的に確認することをお勧めします。
- 課金の変更、未請求の商用消費品目の使用状況、構成など、Azure アクティビティ ログに未承認のアクティビティがあるかどうかを確認します。
- Azure コスト管理での顧客の支出予算に対する支出の異常を 確認します。
- 侵害されたリソースを無効または削除します。
- 脅威アクターを特定して排除する: Microsoft と Azure のセキュリティ リソースを使用して、全身的な ID 侵害からの復旧に役立ちます。
- サブスクリプション レベルの 変更を Azure アクティビティ ログ で確認します。
- 承認されていないパーティによって作成されたリソースの割り当てを解除し、削除します。 Azure サブスクリプションのクリーンを維持する方法を確認する |Azure ヒントとテクニック (ビデオ)
- API (Azure エンタイトルメントの取り消し) またはパートナー センター ポータルを使用して、顧客の Azure サブスクリプションを取り消すことができます。
- すぐにAzure サポートに連絡してインシデントを報告する
- イベント後にストレージをクリーンアップする: 接続されていない Azure マネージド ディスクとアンマネージド ディスクを検索して削除する - Azure Virtual Machines
アカウント侵害の防止は、アカウント侵害から回復するよりも簡単です。 そのため、セキュリティ体制を強化することが重要です。
- お客様の Azure サブスクリプションのクォータを確認し、未使用のクォータを減らすための要求を送信します。 詳細については、「クォータの削減」を参照してください。
- クラウド ソリューション プロバイダーセキュリティのベスト プラクティスを確認して実装します。
- 顧客と協力して、顧客のセキュリティに関するベスト プラクティスを 学習し、実装します。
- Defender for Cloud がオンになっていることを確認します (このサービスには無料レベルが利用できます)。
詳細については、記事 のサポートを参照してください。
監視用のその他のツール
エンド カスタマーを準備する方法
Microsoft から Azure サブスクリプションに通知が送信され、エンド カスタマーに送信されます。 エンド カスタマーと協力して、適切に行動し、環境内のさまざまなセキュリティの問題に関するアラートを受け取れるようにします。
- Azure Monitor または Azure Cost Management を使用して使用状況アラートを設定します。
- セキュリティやその他の関連する問題に関する Microsoft からのその他の通知を認識するように Service Health アラートを設定します。
- 組織のテナント 管理 (これがパートナーによって管理されていない場合) と連携して、テナントにセキュリティ対策を強化します (次のセクションを参照)。
テナントを保護するための追加情報
Azure 資産の運用セキュリティのベスト プラクティスを確認して実装 します。
危険度の高いユーザーとサインインに対するリスク ポリシーとアラートを実装する:Microsoft Entra ID 保護とは何ですか?
お客様またはお客様の顧客の Azure サブスクリプションの不正使用が疑われる場合は、Microsoft が他の質問や懸念事項を迅速に解決できるように、Microsoft Azure サポートに問い合わせてください。
パートナー センターに関する具体的な質問がある場合は、パートナー センターでサポート リクエストを送信してください。 詳細については、 パートナー センターでサポートを受けます。
アクティビティ ログでセキュリティ通知を確認する
- パートナー センターにサインインし、右上隅にある設定 (歯車) アイコンを選択し、[アカウント設定] ワークスペースを選択します。
- 左側の パネルでアクティビティ ログ に移動します。
- 上部のフィルターで [ 開始日 ] と [終了日 ] を設定します。
- [操作の種類でフィルター処理] で、[検出された Azure Fraud イベント] を選択します。 選択した期間に検出されたすべてのセキュリティ アラート イベントを表示できる必要があります。
パートナーが古い Azure セキュリティ アラートを受け取る理由
Microsoft は、2021 年 12 月から Azure Fraud アラートを送信しています。 ただし、以前は、アラート通知はオプトイン設定のみに基づいており、パートナーは通知を受け取るためにオプトインする必要がありました。 この動作を変更しました。 パートナーは、開いているすべての不正行為のアラート (古いアラートを含む) を解決する必要があります。 クラウド ソリューション プロバイダーセキュリティのベスト プラクティスに従って、お客様と顧客のセキュリティ体制をセキュリティで保護します。
過去 60 日以内にアクティブな未解決の不正行為のアラートがある場合、Microsoft は毎日の不正行為の概要 (影響を受けるパートナー、顧客、サブスクリプションの数) を送信しています。
すべてのアラートが表示されないのはなぜですか?
セキュリティ アラート通知は、Azure での特定の異常なアクションのパターンの検出に限定されます。 セキュリティ アラート通知は検出されず、すべての異常な動作を検出するとは限りません。 毎月の Azure 支出予算など、顧客の Azure サブスクリプションの異常な使用状況を検出するために、他の監視方法を使用することが重要です。 重大で誤検知のアラートを受け取った場合は、パートナー サポートに連絡し、次の情報を提供してください。
- パートナー テナント ID
- 顧客テナント ID
- サブスクリプション ID
- Resource ID
- 影響の開始日と影響の終了日
次のステップ
- Security Alerts API と 統合し、Webhook を登録します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示