次の方法で共有

セキュリティ アラート ダッシュボードを使用してセキュリティ イベントに応答する

  • [アーティクル]

適切なロール: 管理エージェント

適用対象: パートナー センターの直接請求パートナーと間接プロバイダー

パートナー センター セキュリティ アラート ダッシュボードは、パートナー センターまたは顧客のテナントで発生するセキュリティ、不正行為、その他のイベントに迅速に対応するのに役立ちます。

API

パートナー センターに複数の Microsoft Entra テナントがある場合は、 Security Alerts ダッシュボードを使用する代わりに、次の API を使用してアラートを取得および更新できます。

前提条件

パートナー センター セキュリティ アラート ダッシュボードを使用するには、ユーザー アカウントに管理者エージェント ロールが割り当てられている必要があります。

アラートに対するタイムリーな対応の重要性

ダッシュボードでアラートを作成するときは、アラートの原因となったインシデントをできるだけ早くトリアージして軽減することが重要です。 基本原則として、1 時間以内にアラートに応答することをお勧めします。 Fraud種類のアラートの場合、アラートの原因となったインシデントへの対応と軽減にかかる時間が長いほど、潜在的な財務上の影響が大きくなります。

ダッシュボードを開く

パートナー センター Security Alerts ダッシュボードを開くには:

  1. 管理エージェント ロールを持つユーザーとしてパートナー センターにサインインします。
  2. Insights ワークスペースを選択します。
  3. 左側のメニューの Security で、 Alerts を選択します。

このリンク 使用して ダッシュボードに直接移動することもできます。

アラートの表示

ダッシュボードには、次のアラート カテゴリに関する情報が表示されます。

平均応答時間、今週の新しいイベント、解決済み、未解決など、パートナー センターのセキュリティ アラート ダッシュボードを示すスクリーンショット。

  • 平均時間: 過去 30 日間のアラートに応答して解決する平均時間。
  • 今週の新しいイベント: 過去 7 日間の新しいアラートの数。
  • 解決済み: 理由を指定して解決されたアラートの数 (たとえば、 Legitimate または Fraud)。
  • 未解決: 注意が必要な未解決のアラートの数。

ダッシュボードの下部には、サインインしているパートナー センター テナントに影響するアラートが一覧表示されます。

[サブスクリプションのキャンセル] や [エクスポート] など、実行できるセキュリティ アラート ダッシュボードとアクションを示すスクリーンショット。

テーブルには次の列があります。

  • アラート名: 検出された内容に関する概要情報。
  • サブスクリプション ID: 特定の Azure サブスクリプションでアラートが検出されたときに表示される識別子。
  • アラート ID: アラートの一意の識別子。
  • アラートの状態: アラートの状態 (Active または Resolved)。
  • 最初に観察: アラートが初めて表示された時刻。
  • 最後に観察された: アラートが表示された最新の時刻。
  • アラートの種類: 検出され、アラートの原因となったアクティビティの種類。 次の 2 種類のアラートがあります。
    • Azure Notification: 影響を受けた Azure サブスクリプションの顧客にメッセージが送信され、 Service Health 通知として表示されたことを示します。 このメッセージのコピーがアラートの詳細に表示されます。
    • Azure の使用状況: Azure サブスクリプションでの異常なアクティビティの増加か、サブスクリプションで発生する異常なアクティビティ (暗号化マイニングなど) のいずれかを示します。
  • 重大度: アラートに応答する緊急度。

Filter オプションを使用すると、Alert ダッシュボードに表示されるアラートを変更できます。

Search 機能を使用すると、ボックスに入力した情報のすべてのアラートを検索できます。 検索結果には、次の情報が含まれます。

  • サブスクリプション ID
  • アラート ID
  • 顧客名

アラートの詳細ページのアクション

アラートの詳細を表示するには、アラート名を選択します。 たとえば、次のアラート例は、Azure サブスクリプションで発生する暗号通貨マイニングに関連する動作を示しています。

暗号通貨マイニングに関連するアラートの詳細を示すスクリーンショット。

一番上のセクション

アラートの詳細ページの上部には、顧客とリセラー (該当する場合) の情報が表示されます。

アラートの説明

Alert の説明セクションでは、アラートが発生した理由の概要と調査手順について説明します。

影響を受けるリソース

Impacted リソース セクションには、次の 2 つのアクションが含まれています。

  • 正当なマーク: リソースを調査し、アラートが何を示したか、または動作が期待されていることを顧客に確認した証拠が見つかりませんでした。
  • 不正行為としてマーク: リソースを調査し、アラートが示した動作を実行していることが判明しました。

アラートの調査が完了したら、検出した内容をパートナー センターに伝えるアクションを選択します。 アクションを選択すると、アラート Resolvedがマークされます。 選択したアクションは、アラートを解決する理由 (つまり、 Reason 値) を示します。

リソース情報

リソース情報セクションには、アラートの原因となった検出に関連したリソースの詳細が示されます。 この例では、testserver という名前のリソース グループに、badvmtest という名前の仮想マシンがあります。 First 接続時間Last 接続時間値は、このリソースが既知のマイニング プールに接続していることを最初に検出したときと、それを確認した最新の時刻を示します。

追加情報

追加情報セクションでは、リソースが表示する動作 (使用可能な場合) について詳しく説明します。 この例では、仮想マシン badvmtest 既知のマイニング プールの IP アドレスと通信します。 リソース情報セクションは、First 接続時間Last 接続時間の間に 4 回 IP アドレスに接続されたことを示しています。

リソース

Resources セクションで、アラートの詳細と、アラートを受け取ったときに実行する操作の詳細については、リンクを使用します。

下部セクション

アラートの詳細ページの下部には、実行できるアクションの 3 つのボタンが表示されます。

セキュリティ アラートの下部を示すスクリーンショット。サブスクリプションの取り消し、サブスクリプションの管理、アラートへの戻りを行うオプションが表示されています。

  • サブスクリプションの取り消し: このアクションを使用するには、グローバル管理者ロールと管理エージェント ロールの両方が必要です。 アラートの調査で、承認されていないユーザーが Azure サブスクリプションを超過したことを示している場合は、 Cancel サブスクリプションを選択して Azure サブスクリプション内のすべてのリソースの割り当てを解除し、サブスクリプション内のすべてのデータに保持期間後の削除をマークすることができます。

    このアクションを実行する前に、アラートについて顧客に連絡し、(可能であれば) サブスクリプションを取り消す同意を得ることをお勧めします。 ボタンを選択すると、ダイアログが表示され、このアクションの影響を理解していることを確認するように求められます。

    サブスクリプションを取り消すダイアログを示すスクリーンショット。戻って取り消しを続行するためのオプションが表示されています。

    Azure サブスクリプションを取り消すには、キャンセルContinue を選択します。 キャンセルを選択すると、サブスクリプションが取り消され、そのサブスクリプションのすべてのアラートが Resolved Fraud という理由でマークされます。

    詳細については、「 Azure サブスクリプションを作成する」を参照してください。

  • サブスクリプションの管理: このアクションにより、 Admin on Behalf of (AOBO) を使用して Azure portal に移動します。 顧客から付与されたアクセス レベルに基づいて、アラートの詳細に示されているリソースをさらに調査できる場合があります。 詳細については、「 Azure プランのサブスクリプションとリソースの管理を参照してください。

  • アラートに戻る: このアクションにより、アラートの一覧が表示された Security Alerts ダッシュボードに戻ります。

[セキュリティ アラート] ダッシュボードのアクション

Security Alerts ダッシュボードのアラート一覧の上には、2 つのアクションを実行できます。

[セキュリティ アラート] ダッシュボードと、サブスクリプションをキャンセルして情報をエクスポートするためのオプションを示すスクリーンショット。

  • サブスクリプションの取り消し: このアクションを使用するには、グローバル管理者ロールと管理エージェント ロールの両方が必要です。 アラートの調査で、承認されていないユーザーが Azure サブスクリプションを超過したことを示している場合は、 Cancel サブスクリプションを選択して Azure サブスクリプション内のすべてのリソースの割り当てを解除し、サブスクリプション内のすべてのデータに保持期間後の削除をマークすることができます。

    このアクションを実行する前に、アラートについて顧客に連絡し、(可能であれば) サブスクリプションを取り消す同意を得ることをお勧めします。 ボタンを選択すると、ダイアログが表示され、このアクションの影響を理解していることを確認するように求められます。

    Azure サブスクリプションをするにはキャンセルを選択します。

    サブスクリプションを取り消す確認ダイアログを示すスクリーンショット。

  • エクスポート: アラートに関するすべての詳細情報をエクスポートする場合は、 Export アクションを使用して、アラート情報を含むコンマ区切り値 (CSV) ファイルをダウンロードできます。

    このアクションにより、現在表示しているアラートのみを含む CSV ファイルが生成されます。 エクスポートするアラートを調整するには、 Filter オプションを使用します。

関連するコンテンツ