セキュリティ警告の検出と応答
対象のロール: 管理エージェント
適用対象: パートナー センターの直接請求および間接プロバイダー
承認されていないパーティーの不正使用とアカウントの引き継ぎに関連する検出に関する新しいセキュリティ アラートをサブスクライブできます。 このセキュリティ アラートは、Microsoft が顧客のテナントをセキュリティで保護するために必要なデータを提供するさまざまな方法の 1 つです。 承認されていないパーティーの不正使用とアカウントの引き継ぎに関連する検出に関する新しいセキュリティ アラートをサブスクライブできます。 このセキュリティ アラートは、Microsoft が顧客のテナントをセキュリティで保護するために必要なデータを提供するさまざまな方法の 1 つです。
重要
クラウド ソリューション プロバイダー (CSP) プログラムのパートナーは、顧客の Azure 消費に責任を負うので、顧客の Azure サブスクリプションで異常な使用を認識することが重要です。 Microsoft Azure セキュリティ アラートを使用して、Azure リソース内の不正なアクティビティや誤用のパターンを検出し、オンライン トランザクション リスクへの露出を減らすのに役立ちます。 Microsoft Azure のセキュリティ アラートでは、すべての種類の不正なアクティビティや誤用が検出されるわけではありません。そのため、追加の監視方法を使用して、顧客の Azure サブスクリプションの異常な使用状況を検出することが重要です。 詳細については、「 未払い、詐欺、または誤用の管理 および顧客アカウントの管理 を参照してください。
必要なアクション: 監視とシグナル認識を使用すると、アクションを直ちに実行して、動作が正当か不正かを判断できます。 必要に応じて、影響を受ける Azure リソース Azure サブスクリプションまたは Azure サブスクリプションを中断して 問題を軽減できます。
パートナー管理エージェントの推定メール アドレスが最新であることを確認して、セキュリティ連絡先と共に通知できるようにします。
セキュリティ アラート通知をサブスクライブする
ロールに基づいて、さまざまなパートナー通知をサブスクライブできます。
お客様の Azure サブスクリプションに異常なアクティビティが表示されると、セキュリティ アラートによって通知されます。
電子メールでアラートを取得する
- Partner Center にサインインしNotifications (ベル) を選択します。
- [My Preferences]\(基本設定\) を選択します。
- まだ設定していない場合は、優先メール アドレスを設定します。
- まだ行っていない場合は、通知の優先言語を設定します。
- Email通知環境設定の横にある編集を選択。
- Workspace 列の Customers に関連するすべてのボックスをオンにします。 (サブスクリプションを解除するには、顧客ワークスペースのトランザクション セクションの選択を解除します)。
- [保存] を選択します。
お客様の一部の Microsoft Azure サブスクリプションで発生する可能性のあるセキュリティ アラート アクティビティまたは誤用を検出すると、セキュリティ アラートが送信されます。 メールには次の 3 種類があります。
- 未解決のセキュリティ アラートの毎日の概要 (さまざまなアラートの種類の影響を受けるパートナー、顧客、サブスクリプションの数)
- ほぼリアルタイムのセキュリティ アラート。 潜在的なセキュリティ上の懸念がある Azure サブスクリプションの一覧を取得するには、「 不正イベントを取得するを参照してください。
- ほぼリアルタイムのセキュリティ アドバイザリ通知。 これらの通知は、セキュリティ アラートが発生したときに顧客に送信された通知を可視化します。
クラウド ソリューション プロバイダー (CSP) 直接請求パートナーは、異常なコンピューティング使用量、暗号化マイニング、Azure Machine Learning の使用状況、サービス正常性アドバイザリ通知など、アクティビティに関するアラートをさらに表示できます。 クラウド ソリューション プロバイダー (CSP) 直接請求パートナーは、異常なコンピューティング使用量、暗号化マイニング、Azure Machine Learning の使用状況、サービス正常性アドバイザリ通知など、アクティビティに関するアラートをさらに表示できます。
Webhook を使用してアラートを取得する
パートナーは webhook イベントに登録できます。リソース変更イベントのアラートを受信 azure-fraud-event-detected
。 詳細については、「 Partner Center webhook イベントを参照してください。
[セキュリティ アラート] ダッシュボードを使用してアラートを表示して対応する
CSP パートナーは、パートナー センター セキュリティ アラート ダッシュボード にアクセスして、アラートを検出して対応できます。 詳細については、「 パートナー センターのセキュリティ アラート ダッシュボードを使用したセキュリティ イベントへの応答を参照してください。 CSP パートナーは、パートナー センター セキュリティ アラート ダッシュボード にアクセスして、アラートを検出して対応できます。 詳細については、「 パートナー センターのセキュリティ アラート ダッシュボードを使用したセキュリティ イベントへの応答を参照してください。
API を使用してアラートの詳細を取得する
新しい Microsoft Graph セキュリティ アラート API (ベータ) を使用する
利点: 2024 年 5 月以降、Microsoft Graph セキュリティ アラート API のプレビュー バージョンを利用できます。 この API は、Microsoft Entra ID、Teams、Outlook などの他のMicrosoft サービス全体で統合された API ゲートウェイ エクスペリエンスを提供します。
オンボード要件: オンボードしている CSP パートナーは、新しいセキュリティ アラートベータ API を使用する必要があります。 詳細については、「 Microsoft Graph でパートナー セキュリティ アラート API を使用するを参照してください。
Microsoft Graph Security Alerts API V1 バージョンは、2024 年 7 月にリリースされる予定です。
ユース ケース | API |
---|---|
Microsoft Graph API にオンボードしてアクセス トークンを取得する | ユーザーの代理でアクセスを取得する |
セキュリティ アラートを一覧表示してアラートを表示する | securityAlerts を一覧表示する |
選択したクエリ パラメーターに基づいて特定のアラートを表示するためのセキュリティ アラートを取得します。 | partnerSecurityAlert を取得する |
参照情報のためにパートナー センター API を呼び出すトークンを取得する | セキュリティで保護されたアプリケーション モデルを有効にする |
組織プロファイル情報を取得する | 組織プロファイルを取得する |
ID で顧客情報を取得する | ID で顧客を取得する |
ID で顧客の間接リセラー情報を取得する | 顧客の間接リセラーを取得する |
ID で顧客のサブスクリプション情報を取得する | ID でサブスクリプションを取得する |
アラートの状態を更新し、軽減時に解決する | partnerSecurityAlert を更新する |
既存の FraudEvents API のサポート
重要
従来の不正イベント API は、CY Q4 2024 で非推奨になります。 詳細については、パートナー センターの毎月のセキュリティに関するお知らせを参照してください。 CSP パートナーは、新しい Microsoft Graph Security Alerts API に移行する必要があります。これはプレビュー段階で利用できるようになりました。
移行期間中、CSP パートナーは引き続き FraudEvents API を使用して、X-NewEventsModel を使用して追加の検出シグナルを取得できます。 このモデルでは、異常なコンピューティング使用量、暗号化マイニング、Azure Machine Learning の使用状況、サービス正常性アドバイザリ通知など、システムに追加された新しい種類のアラートを取得できます。 脅威も進化しているため、限られた通知で新しい種類のアラートを追加できます。 さまざまなアラートの種類に対して API を介して特別な処理を使用する場合は、次の API で変更を監視します。
セキュリティ アラート通知を受け取ったときに実行する操作
次のチェックリストでは、セキュリティ通知を受け取ったときに何を行うかについて、推奨される次の手順を示します。
- 電子メール通知が有効であることを確認します。 セキュリティ アラートを送信すると、 Microsoft Azure から電子メール アドレス (
no-reply@microsoft.com
) と共に送信されます。 パートナーは Microsoft からのみ通知を受け取ります。 - 通知が表示されたら、アクション センター ポータルで電子メール アラートを確認することもできます。 ベル アイコンを選択すると、アクション センターのアラートが表示されます。
- Azure サブスクリプションを確認します。 サブスクリプション内のアクティビティが正当で予想されるかどうか、またはアクティビティが不正使用または不正行為によるものである可能性があるかどうかを判断します。
- セキュリティ アラート ダッシュボードまたは API から、見つかった内容をお知らせください。 API の使用の詳細については、「 Update fraud イベントの状態」を参照してください。 見つかった内容を説明するには、次のカテゴリを使用します。
- 正当 - アクティビティが予期されているか、誤検知シグナルです。
- 不正行為 - アクティビティは、不正使用または不正使用によるものです。
- 無視 - アクティビティは古いアラートであり、無視する必要があります。 詳細については、「 パートナーが古いセキュリティ アラートを受け取るのはなぜですか?を参照してください。
侵害のリスクを減らすために、他にどのような手順を実行できますか?
- 顧客とパートナーのテナントで多要素認証 (MFA) を有効にします。 顧客の Azure サブスクリプションを管理するアクセス許可を持つアカウントは、MFA に準拠している必要があります。 詳細については、セキュリティのベスト プラクティスクラウド ソリューション プロバイダーおよび Customer セキュリティのベスト プラクティスを参照してください。
- アラートを設定して、顧客の Azure サブスクリプションに対する Azure ロールベースのアクセス制御 (RBAC) アクセス許可を監視します。 詳細については、「 Azure プラン - サブスクリプションとリソースの管理を参照してください。
- 顧客の Azure サブスクリプションに対するアクセス許可の変更を監査します。 Azure サブスクリプション関連のアクティビティの Azure Monitor アクティビティ ログ を確認します。
- Azure コスト管理の支出予算に対する支出の異常を確認します。
- Azure サブスクリプションで許容される損害を防ぐために、未使用のクォータを減らすよう、お客様に教育と協力を行います。 Quotas の概要 - Azure クォータ。
- Azure クォータを管理する要求を送信する: Azure サポート要求を作成する方法 - Azure サポート容易性
- 現在のクォータ使用量を確認する: Azure クォータ REST API リファレンス
- 高容量を必要とする重要なワークロードを実行している場合は、 オンデマンドの容量予約 azure 予約済み仮想マシン インスタンス を検討してください
Azure サブスクリプションが侵害された場合の対処方法
アカウントとデータを保護するためのアクションを直ちに実行します。 影響と全体的なビジネス リスクを軽減するために、迅速に対応し、潜在的なインシデントを含むいくつかの提案とヒントを次に示します。
クラウド環境で 侵害された ID を修復することは、クラウドベースシステムの全体的なセキュリティを確保するために重要です。 侵害された ID は、攻撃者に機密データとリソースへのアクセスを提供する可能性があるため、アカウントとデータを保護するために直ちにアクションを実行することが不可欠です。
次の資格情報をすぐに変更します。
- Azure サブスクリプションのテナント管理者と RBAC アクセス Azure ロールベースのアクセス制御 (Azure RBAC) とは
- パスワードのガイダンスに従います。 パスワード ポリシーの推奨事項
- すべてのテナント管理者と RBAC 所有者が MFA を登録して適用していることを確認する
Microsoft Entra ID 内のすべての管理者ユーザー パスワード回復メールと電話番号を確認して確認します。 必要に応じて更新します。 パスワード ポリシーの推奨事項
Azure portal 内で危険にさらされているユーザー、テナント、およびサブスクリプションを確認します。
- Microsoft Entra ID に移動してリスクを調査し、Identity Protection の Risk レポートを確認します。 詳細については、リスク Microsoft Entra ID 保護のインベスティゲートに関するページを参照してください。
- Identity Protection のライセンス要件
- リスクを修復してユーザーをブロック解除する
- Microsoft Entra ID Protection のユーザー エクスペリエンス
顧客テナントの Microsoft Entra サインイン ログ を確認して、セキュリティ アラートがトリガーされる前後の異常なサインイン パターンを確認します。
悪意のあるアクターが削除された後、侵害されたリソース クリーニングします。 影響を受けるサブスクリプションを注意深く監視して、それ以上疑わしいアクティビティがないことを確認します。 また、アカウントが安全であることを確認するために、ログと監査証跡を定期的に確認することをお勧めします。
- Azure アクティビティ ログ内の未承認のアクティビティ (課金の変更、未請求の商用消費品目の使用状況、構成など) を確認します。
- Azure コスト管理で顧客の支出予算に対する支出の異常を確認。
- 侵害されたリソースを無効または削除します。
- 脅威アクターを特定して削除する: Microsoft と Azure のセキュリティ リソースを使用して、全身的な ID 侵害からの復旧に役立ちます。
- サブスクリプション レベルの変更Azure アクティビティ ログを確認します。
- 承認されていないパーティによって作成されたリソースの割り当てを解除し、削除します。 Azure サブスクリプションをクリーンに保つ方法を見る |Azure のヒントとテクニック (ビデオ)
- API (Azure エンタイトルメントの取り消し) またはパートナー センター ポータルを通じて顧客の Azure サブスクリプションを取り消すことができます。
- すぐにAzure サポートに連絡してインシデントを報告する
- イベントの後にストレージをクリーンアップする: 接続されていない Azure マネージド ディスクとアンマネージド ディスクを検索して削除する - Azure Virtual Machines
アカウント侵害の防止は、アカウント侵害から回復するよりも簡単です。 そのため、セキュリティ体制 強化することが重要です。
- お客様の Azure サブスクリプションのクォータを確認し、未使用のクォータを減らすための要求を送信します。 詳細については、「 Reduce クォータ」を参照してください。
- クラウド ソリューション プロバイダーセキュリティのベスト プラクティスを確認して実装します。
- 顧客と協力して、 Customer のセキュリティのベスト プラクティスを学習して実装します。
- Defender for Cloudがに戻っていることを確認します (このサービスには無料レベルが用意されています)。
- Defender for Cloudがに戻っていることを確認します (このサービスには無料レベルが用意されています)。
詳細については、 supportに関する記事を参照してください。
監視用のその他のツール
エンド カスタマーを準備する方法
Microsoft から Azure サブスクリプションに通知が送信され、エンド カスタマーに送信されます。 エンド カスタマーと協力して、適切に行動し、環境内のさまざまなセキュリティの問題に関するアラートを受け取れるようにします。
- Azure Monitor または Azure Cost Management を使用してアラートを設定。
- セキュリティやその他の関連する問題に関する Microsoft からのその他の通知を認識するように、 Service Health Alerts を設定します。
- 組織のテナント管理者 (これがパートナーによって管理されていない場合) と連携して、テナントにセキュリティ対策を強化します (次のセクションを参照)。
テナントを保護するための追加情報
- Azure 資産 運用上のセキュリティのベスト プラクティスを確認して実装します。
- 多要素認証を適用して、ID セキュリティ体制を強化します。
- 危険度の高いユーザーとサインインのリスク ポリシーとアラートを実装する: Microsoft Entra ID 保護。
お客様またはお客様の顧客の Azure サブスクリプションの不正使用が疑われる場合は、Microsoft Microsoft Azure サポートに問い合わせて Microsoft が他の質問や懸念事項を迅速に解決できるようにします。
パートナー センターに関する具体的な質問がある場合は、パートナー センターで サポートリクエスト を送信します。 詳細については、 パートナー センターでのサポートを取得。
アクティビティ ログでセキュリティ通知を確認する
- Partner Center にサインインし右上隅にある設定 (歯車) アイコンを選択し、Account 設定ワークスペースを選択します。
- 左側のパネル Activity ログ に移動します。
- 上部のフィルターで From と To の日付を設定します。
- Filter by Operation Typeで、[Azure Fraud Event Detectedを選択。 選択した期間に検出されたすべてのセキュリティ アラート イベントを表示できる必要があります。
パートナーが古い Azure セキュリティ アラートを受け取る理由
Microsoft は、2021 年 12 月から Azure Fraud アラートを送信しています。 ただし、以前は、アラート通知はオプトイン設定のみに基づいており、パートナーは通知を受け取るためにオプトインする必要がありました。 この動作を変更しました。 パートナーは、開いているすべての不正行為のアラート (古いアラートを含む) を解決する必要があります。 お客様と顧客のセキュリティ体制をセキュリティで保護するには、クラウド ソリューション プロバイダーセキュリティのベスト プラクティスに従ってください。
過去 60 日以内にアクティブな未解決の不正行為のアラートがある場合、Microsoft は毎日の不正行為の概要 (影響を受けるパートナー、顧客、サブスクリプションの数) を送信しています。 過去 60 日以内にアクティブな未解決の不正行為のアラートがある場合、Microsoft は毎日の不正行為の概要 (影響を受けるパートナー、顧客、サブスクリプションの数) を送信しています。
すべてのアラートが表示されないのはなぜですか?
セキュリティ アラート通知は、Azure での特定の異常なアクションのパターンの検出に限定されます。 セキュリティ アラート通知は検出されず、すべての異常な動作を検出するとは限りません。 毎月の Azure 支出予算など、顧客の Azure サブスクリプションの異常な使用状況を検出するために、他の監視方法を使用することが重要です。 重大で誤検知のアラートを受け取った場合は、 パートナー サポートに連絡し 次の情報を入力します。
- パートナー テナント ID
- 顧客テナント ID
- サブスクリプション ID
- リソース ID
- 影響の開始日と影響の終了日
関連するコンテンツ
- Security Alerts API と統合し、webhook を登録します。