セキュリティ アラート ダッシュボードを使用してセキュリティ イベントに応答する
対象のロール: 管理エージェント
適用対象: パートナー センターの直接請求と間接プロバイダー
パートナー センター のセキュリティ アラート ダッシュボードは、パートナー センターまたは顧客のテナントで発生するセキュリティ、不正行為、およびその他のイベントに迅速に対応するのに役立ちます。
API
複数のパートナー センター Microsoft Entra テナントを持つパートナーの場合は、アラート ダッシュボードを使用する代わりに、次の API を使用してアラートを取得および更新できます。
前提条件
パートナー センター セキュリティ アラート ダッシュボードを使用するには、ユーザー アカウントに 管理 エージェント ロールが割り当てられている必要があります。
アラートに対するタイムリーな対応の重要性
ダッシュボードでアラートを作成するときは、アラートの原因となったインシデントをできるだけ早くトリアージして軽減することが重要です。 基本原則として、1 時間以内にアラートに対応することをお勧めします。 不正アクセスの種類のアラートの場合、アラートの原因となったインシデントへの対応と軽減にかかる時間が長いほど、経済的な影響が生じる可能性があります。
アラート ダッシュボードへの移動
パートナー センターのセキュリティ アラート ダッシュボードにアクセスするには:
- 管理 エージェント ロールを持つユーザーと共にパートナー センターにログインします。
- インサイト ワークスペースを選択します。
- 左側のナビゲーション メニューの [セキュリティ] で、[アラート] を選択します。
アラートの表示
[ アラート] ページには 、次の情報が表示されます。
- 今週 の新しいアラート - 過去 7 日間の新しいアラートの数。
- 解決済み - 理由を指定して解決されたアラートの数 (たとえば、 正当 または 不正)。
- アクティブ & 進行中 - 注意が必要な未解決のアラートの数。
![平均応答時間、今週の新しいアラート、解決済み、アクティブと進行中など、パートナー センターの [アラート] 画面を示すスクリーンショット。](../media/security/security-alerts.png#lightbox)
アラート ページの下部には、ログインしているパートナー センター テナントに影響するアラートが一覧表示されます。
![[アラート] ページと、サブスクリプションのキャンセルやエクスポートなど、実行できるアクションを示すスクリーンショット。](../media/security/security-alert-actions.png)
- アラート名 - この名前は、検出された内容に関する高レベルの情報を示します。
- サブスクリプション ID - この識別子は、特定の Azure サブスクリプションでアラートが検出されたときに表示されます。
- アラート ID - アラートの一意の識別子。
- アラートの状態 - アラートの状態 (アクティブ または 解決済み)。
- 最初に観察 された - アラートが初めて表示された時刻。
- 最後に観察 された - アラートが表示された最新の時刻。
- アラートの種類 - 検出され、アラートの原因となったアクティビティの種類。 次の 2 種類のアラートがあります。
- Azure 通知 - このアラートは、影響を受けた Azure サブスクリプションの顧客にメッセージが送信され、Service Health 通知として表示されたことを示します。 このメッセージのコピーがアラートの詳細に表示されます。
- Azure の使用状況 - このアラートは、Azure サブスクリプションでのアクティビティの異常な増加か、サブスクリプションで発生している異常なアクティビティ (仮想通貨マイニングなど) を示します。
- 重大度 - アラートに応答するときに実行する必要がある緊急度を示します。
[ フィルター] オプションを使用すると、[アラート] ページに表示されるアラートを変更できます。
検索を使用すると、検索フィールドに入力した情報のすべてのアラートを検索し、[アラート] ページを開きます。 次のフィールドが検索されます。
- サブスクリプション ID
- アラート ID
- 顧客名
[アラートの詳細] ページのアクション
[アラートの詳細] ページの例:
アラートの詳細を表示するには、アラート名を選択します。 たとえば、次のアラート例は、Azure サブスクリプションで発生する暗号通貨マイニングに関連する動作を示しています。
[アラートの詳細] ページの上部に、顧客情報とリセラー (該当する場合) が表示されます。
アラートの 説明 では、アラートが発生した理由の概要と調査手順を示します。
[ 影響を受けたリソース ] セクションには、次の情報が表示されます。
リソース情報 - アラートの原因となった検出に関連したリソースの詳細。 この例では、リソース グループ "testserver" に "badvmtest" という名前の仮想マシンがあります。 最初の接続時刻と最後の接続時刻は、既知のマイニング プールに接続しているこのリソースを最初に検出した時刻と、それが観察された最新の時刻を示します。
追加情報 - リソースによって表示される動作に関する詳細が利用可能な場合は、ここに表示されます。 この例では、仮想マシン "badvmtest" が 既知のマイニング プールの IP アドレスと通信しました。 [リソース情報] セクションには、最初の接続時刻と最後の接続時刻の間に 4 回 IP アドレスに接続されている状態が表示されます。
アクション バー - アラートの調査を完了したら、アクションを選択して、検出した内容をパートナー センターに通知します。 アクションを選択すると、アラート が解決済みとしてマークされます。 選択したアクションは、アラートを 解決する理由 を示します。 提供されるオプションは次のとおりです。
- 正当なマーク - リソースを調査し、アラートが何を示したかの証拠が見つからなかったか、顧客とチェックしたときに、その動作が期待されていることを示します。
- 不正アクセス としてマークする - リソースを調査し、アラートによって示される動作を実行していることがわかりました。
リソース - アラートのこのセクションのリンクを使用して、アラートの詳細と、アラートを受け取ったときに実行する操作について説明します。
![アラートの例を示すスクリーンショット。[Mark as legitimate]\(正当としてマーク\) または [Mark as fraud]\(不正としてマーク\) オプションが含まれています。](../media/security/security-crypto-example-legitimate-fraud.png)
リソース - アラートの詳細と、アラートを受け取ったときに実行する方法について説明します。
![アラートの例を示すスクリーンショット。[Mark as legitimate]\(正当としてマーク\) または [Mark as fraud]\(不正としてマーク\) オプションが含まれています。](../media/security/security-crypto-example-legitimate-fraud.png#lightbox)
アラートを選択して、[アラートの詳細] ページを開きます。
[アラートの詳細] ページのアクション
[アラートの詳細] ページの例:
![[サブスクリプションのキャンセル]、[サブスクリプションの管理]、[アラートに戻る] のオプションを含む、セキュリティ アラートの下部を示すスクリーンショット。](../media/security/security-alert-bottom-of-page.png)
アラートの詳細ページの例には、実行できる 3 つのアクションが表示されます。
サブスクリプションのキャンセル - このアクションを使用するには、グローバル 管理istrator ロールと 管理 エージェント ロールの両方が必要です。 アラートの調査で、Azure サブスクリプションが承認されていないユーザーによって追い越されたことを示している場合は、[サブスクリプションの取り消し] を選択して Azure サブスクリプション内のすべてのリソースの割り当てを解除し、サブスクリプション内のすべてのデータを保持期間後に削除するようにマークできます。 このアクションを実行する前に、アラートについて顧客に連絡し、可能であれば、サブスクリプションを取り消す同意を得ることをお勧めします。 このボタンを選択すると、次の確認ページが表示され、このアクションの影響を確実に把握できます。 [キャンセルを続行する] を選択して、Azure サブスクリプションを取り消します。 [キャンセルを続行する] を選択すると、サブスクリプションが取り消され、そのサブスクリプションのすべてのアラートが不正アクセスの理由で解決済みとしてマークされます。
![[サブスクリプションの取り消し] ダイアログを示すスクリーンショット。[戻る] と [キャンセルを続行] のオプションが表示されています。](../media/security/security-cancel-subscription.png)
詳細については、「Azure サブスクリプションのキャンセル」を参照してください。
サブスクリプションの管理 - サブスクリプションの管理アクションでは、代わりに 管理 を使用して Azure 管理ポータルに移動します。 顧客から付与されたアクセス レベルに基づいて、アラートの詳細に示されている リソースをさらに調査できる場合があります。 詳細については、「Azure プランでのサブスクリプションとリソースの管理」を参照してください。
アラートに戻る - アラートの一覧を含む メイン アラート ダッシュボード ページに戻ります。
[アラート] ページのアクション
[アラート] ページのアラート 一覧の上には、実行できる 2 つのアクションがあります。
サブスクリプションのキャンセル - このアクションを使用するには、グローバル 管理istrator ロールと 管理 エージェント ロールの両方が必要です。 アラートの調査で、Azure サブスクリプションが承認されていないユーザーによって追い越されたことを示している場合は、[サブスクリプションの取り消し] を選択して Azure サブスクリプション内のすべてのリソースの割り当てを解除し、サブスクリプション内のすべてのデータを保持期間後に削除するようにマークできます。 このアクションを実行する前に、アラートについて顧客に連絡し、可能であれば、サブスクリプションを取り消す同意を得ることをお勧めします。 このボタンを選択すると、次の確認ページが表示され、このアクションの影響を確実に把握できます。 [キャンセルを続行する] を選択して、Azure サブスクリプションを取り消します。
エクスポート - アラートに関するすべての詳細情報をエクスポートする場合は、[エクスポート] アクションを 使用して、アラート情報を含む CSV (コンマ区切り値) ファイルをダウンロードできます。 注: エクスポートでは、現在表示されているアラートのみを含む CSV ファイルが生成されます。 [フィルター] オプションを調整して、エクスポートするアラートを表示します。
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示