보안 경고 감지 및 응답

적절한 역할: 관리 에이전트

적용 대상: 파트너 센터 직접 청구 및 간접 공급자

무단 파티 남용 및 계정 인수와 관련된 검색에 대한 새 보안 경고를 구독할 수 있습니다. 이 보안 경고는 Microsoft에서 고객의 테넌트 보안을 보호하는 데 필요한 데이터를 제공하는 여러 가지 방법 중 하나입니다.

Important

CSP(클라우드 솔루션 공급자) 프로그램의 파트너는 고객의 Azure 사용을 담당하므로 고객의 Azure 구독에서 비정상적인 사용량을 인식하는 것이 중요합니다. Microsoft Azure 보안 경고를 사용하여 Azure 리소스에서 사기성 활동 및 오용 패턴을 감지하여 온라인 트랜잭션 위험에 대한 노출을 줄일 수 있습니다. Microsoft Azure 보안 경고는 모든 유형의 사기 행위 또는 오용을 감지하지 않으므로 추가 모니터링 방법을 사용하여 고객의 Azure 구독에서 비정상적인 사용량을 검색하는 것이 중요합니다. 자세한 내용은 미지급, 사기 또는 오용 관리 및 고객 계정 관리를 참조하세요.

필요한 작업: 모니터링 및 신호 인식을 통해 즉각적인 조치를 취하여 동작이 합법적인지 사기성인지 확인할 수 있습니다. 필요한 경우 영향을 받는 Azure 리소스 또는 Azure 구독을 일시 중단하여 문제를 완화할 수 있습니다.

파트너 관리 에이전트에 대한 기본 설정 전자 메일 주소가 최신 상태인지 확인하여 보안 연락처와 함께 알림을 받을 수 있습니다.

보안 경고 알림 구독

역할에 따라 다양한 파트너 알림을 구독할 수 있습니다.

보안 경고는 고객의 Azure 구독에 가능한 비정상적인 활동이 표시되면 사용자에게 알립니다.

전자 메일로 경고 받기

1. 파트너 센터에 로그인하고 알림(종)을 선택합니다.
2. 내 기본 설정을 선택합니다.
3. 아직 설정하지 않은 경우 기본 설정 전자 메일 주소를 설정합니다.
4. 아직 설정하지 않은 경우 알림에 대한 기본 설정 언어를 설정합니다.
5. 전자 메일 알림 기본 설정 옆에 있는 편집을 선택합니다.
6. 작업 영역 열의 고객과 관련된 모든 확인란을 선택합니다. 구독을 취소하려면 고객 작업 영역에서 트랜잭션 섹션의 선택을 취소합니다.
7. 저장을 선택합니다.

일부 고객의 Microsoft Azure 구독에서 가능한 보안 경고 활동 또는 오용이 감지되면 보안 경고를 보냅니다. 다음과 같은 세 가지 유형의 전자 메일이 있습니다.

• 해결되지 않은 보안 경고의 일일 요약(다양한 경고 유형의 영향을 받는 파트너, 고객 및 구독 수)
• 거의 실시간 보안 경고. 잠재적인 보안 문제가 있는 Azure 구독 목록을 보려면 사기 이벤트 가져오기를 참조하세요.
• 거의 실시간 보안 권고 알림. 이러한 알림은 보안 경고가 있을 때 고객에게 전송된 알림에 대한 가시성을 제공합니다.

CSP(클라우드 솔루션 공급자) 직접 청구 파트너는 비정상적인 컴퓨팅 사용량, 암호화 마이닝, Azure Machine Learning 사용량 및 서비스 상태 권고 알림과 같은 활동에 대한 더 많은 경고를 볼 수 있습니다.

웹후크를 통해 경고 가져오기

파트너는 웹후크 이벤트에 등록하여 리소스 변경 이벤트에 azure-fraud-event-detected 대한 경고를 받을 수 있습니다. 자세한 내용은 파트너 센터 웹후크 이벤트를 참조하세요.

보안 경고 대시보드를 통해 경고 보기 및 응답

CSP 파트너는 파트너 센터 보안 경고 대시보드 에 액세스하여 경고를 검색하고 응답할 수 있습니다. 자세한 내용은 파트너 센터 보안 경고 대시보드를 사용하여 보안 이벤트에 대응을 참조 하세요.

API를 통해 경고 세부 정보 가져오기

새 Microsoft Graph 보안 경고 API 사용(베타)

이점: 2024년 5월부터 Microsoft Graph 보안 경고 API의 미리 보기 버전을 사용할 수 있습니다. 이 API는 Microsoft Entra ID, Teams 및 Outlook과 같은 다른 Microsoft 서비스 통합 API 게이트웨이 환경을 제공합니다.

온보딩 요구 사항: 온보딩 중인 CSP 파트너는 새 보안 경고 베타 API를 사용해야 합니다. 자세한 내용은 Microsoft Graph에서 파트너 보안 경고 API 사용을 참조하세요.

Microsoft Graph 보안 경고 API V1 버전은 2024년 7월에 릴리스될 예정입니다.

사용 사례	API
Microsoft Graph API에 온보딩하여 액세스 토큰 가져오기	사용자를 대신하여 액세스 권한 얻기
경고에 대한 가시성을 얻으려면 보안 경고를 나열합니다.	securityAlerts 나열 - Microsoft Graph 베타 | Microsoft Learn
선택한 쿼리 매개 변수에 따라 특정 경고에 대한 가시성을 얻으려면 보안 경고를 가져옵니다.	partnerSecurityAlert 가져오기 - Microsoft Graph 베타 | Microsoft Learn
참조 정보를 위해 파트너 센터 API를 호출하는 토큰 가져오기	보안 애플리케이션 모델 사용 - 파트너 앱 개발자 | Microsoft Learn
조직 프로필 정보 가져오기	조직 프로필 가져오기 - 파트너 앱 개발자 | Microsoft Learn
ID로 고객 정보 가져오기	ID로 고객 가져오기 - 파트너 앱 개발자 | Microsoft Learn
ID로 고객의 간접 재판매인 정보 가져오기	고객의 간접 재판매인 가져오기 - 파트너 앱 개발자 | Microsoft Learn
ID로 고객의 구독 정보 가져오기	ID로 구독 가져오기 - 파트너 앱 개발자 | Microsoft Learn
경고 상태 업데이트하고 완화될 때 해결	partnerSecurityAlert 업데이트 - Microsoft Graph 베타 | Microsoft Learn

기존 FraudEvents API 지원

Important

레거시 사기 이벤트 API는 CY Q4 2024에서 더 이상 사용되지 않습니다. 자세한 내용은 월별 파트너 센터 보안 공지 사항을 확인하세요. CSP 파트너는 이제 미리 보기로 제공되는 새 Microsoft Graph 보안 경고 API로 마이그레이션해야 합니다.

전환 기간 동안 CSP 파트너는 FraudEvents API를 계속 사용하여 X-NewEventsModel을 사용하여 추가 검색 신호를 가져올 수 있습니다. 이 모델을 사용하면 비정상적인 컴퓨팅 사용량, 암호화 마이닝, Azure Machine Learning 사용량 및 서비스 상태 권고 알림과 같은 새로운 유형의 경고가 시스템에 추가될 때 얻을 수 있습니다. 위협도 진화하고 있으므로 제한된 알림으로 새로운 유형의 경고를 추가할 수 있습니다. 다른 경고 유형에 대해 API를 통해 특수 처리를 사용하는 경우 다음 API에서 변경 내용을 모니터링합니다.

• 사기 이벤트 가져오기
• 사기 이벤트 상태 업데이트

보안 경고 알림을 받을 때 수행할 작업

다음 검사 목록은 보안 알림을 받을 때 수행할 작업에 대해 제안된 다음 단계를 제공합니다.

• 전자 메일 알림이 유효한지 확인합니다. 보안 경고를 보내면 Microsoft Azure에서 이메일 주소를 no-reply@microsoft.com사용하여 전송됩니다. 파트너는 Microsoft로부터만 알림을 받습니다.
• 알림을 받으면 알림 센터 포털에서 전자 메일 경고를 볼 수도 있습니다. 벨 아이콘을 선택하여 알림 센터 경고를 확인합니다.
• Azure 구독을 검토합니다. 구독의 활동이 합법적이고 예상되는지 또는 무단 남용 또는 사기로 인해 활동이 발생할 수 있는지 여부를 확인합니다.
• 보안 경고 대시보드 또는 API를 통해 찾은 내용을 알려주세요. API 사용에 대한 자세한 내용은 사기 이벤트 상태 업데이트를 참조하세요. 다음 범주를 사용하여 찾은 내용을 설명합니다.
  • 적법 - 활동이 예상되거나 가양성 신호입니다.
  • 사기 - 이 활동은 무단 남용 또는 사기로 인한 것입니다.
  • 무시 - 활동이 이전 경고이므로 무시해야 합니다. 자세한 내용은 파트너가 이전 보안 경고를 수신하는 이유를 참조 하세요.

손상 위험을 낮추기 위해 수행할 수 있는 다른 단계는 무엇인가요?

• 고객 및 파트너 테넌트에서 MFA(다단계 인증)를 사용하도록 설정합니다. 고객의 Azure 구독을 관리할 수 있는 권한이 있는 계정은 MFA를 준수해야 합니다. 자세한 내용은 클라우드 솔루션 공급자 보안 모범 사례 및 고객 보안 모범 사례를 참조하세요.
• 경고를 설정하여 고객의 Azure 구독에 대한 AZURE RBAC(역할 기반 액세스 제어) 액세스 권한을 모니터링합니다. 자세한 내용은 Azure 플랜 - 구독 및 리소스 관리를 참조 하세요.
  • 고객의 Azure 구독에 대한 권한 변경 감사 Azure 구독 관련 활동에 대한 Azure Monitor 활동 로그를 검토합니다.
• Azure 비용 관리에서 지출 예산에 대한 지출 변칙을 검토합니다.
• Azure 구독에 허용되는 손상을 방지하기 위해 사용하지 않는 할당량을 줄이기 위해 고객을 교육하고 협력합니다. 할당량 개요 - Azure 할당량.
  • Azure 할당량을 관리하기 위한 요청 제출: Azure 지원 요청을 만드는 방법 - Azure 지원 허용 가능성
  • 현재 할당량 사용량 검토: Azure 할당량 REST API 참조
  • 높은 용량이 필요한 중요한 워크로드를 실행하는 경우 주문형 용량 예약 또는 Azure 예약 가상 머신 인스턴스를 고려하세요.

Azure 구독이 손상된 경우 어떻게 해야 하나요?

계정 및 데이터를 보호하기 위한 즉각적인 조치를 취합니다. 다음은 영향과 전반적인 비즈니스 위험을 줄이기 위해 신속하게 대응하고 잠재적인 인시던트를 포함하기 위한 몇 가지 제안과 팁입니다.

클라우드 환경에서 손상된 ID 를 수정하는 것은 클라우드 기반 시스템의 전반적인 보안을 보장하는 데 중요합니다. 손상된 ID는 공격자에게 중요한 데이터 및 리소스에 대한 액세스를 제공할 수 있으므로 계정 및 데이터를 보호하기 위한 즉각적인 조치를 취해야 합니다.

• 다음의 자격 증명을 즉시 변경합니다.

  • Azure 구독 의 테넌트 관리자 및 RBAC 액세스는 Azure RBAC(Azure 역할 기반 액세스 제어)란?
  • 암호 지침을 따릅니다. 암호 정책 권장 사항
  • 모든 테넌트 관리자 및 RBAC 소유자가 MFA를 등록하고 적용했는지 확인합니다.

• Microsoft Entra ID 내의 모든 전역 관리자 사용자 암호 복구 전자 메일 및 전화 번호를 검토하고 확인합니다. 필요한 경우 업데이트합니다. 암호 정책 권장 사항

• Azure Portal 내에서 위험에 처한 사용자, 테넌트 및 구독을 검토합니다.

  • Microsoft Entra ID로 이동하여 ID 보호의 위험 보고서를 검토하여 위험을 조사합니다. 자세한 내용은 Microsoft Entra ID 보호 위험 조사를 참조 하세요.
  • ID 보호를 위한 라이선스 요구 사항
  • 위험 수정 및 사용자 차단 해제
  • Microsoft Entra ID 보호의 사용자 환경

• 고객 테넌트에서 Microsoft Entra 로그인 로그를 검토하여 보안 경고가 트리거될 때 비정상적인 로그인 패턴을 확인합니다.

악의적인 행위자가 제거된 후 손상된 리소스를 클린. 영향을 받는 구독을 주의 깊게 관찰하여 더 이상 의심스러운 활동이 없는지 확인합니다. 또한 정기적으로 로그를 검토하고 추적을 감사하여 계정이 안전한지 확인하는 것이 좋습니다.

• Azure 활동 로그에서 승인되지 않은 활동(예: 청구 변경, 청구되지 않은 상용 소비 품목에 대한 사용량 또는 구성)을 확인합니다.
• Azure 비용 관리에서 고객의 지출 예산에 대한 지출 변칙을 검토합니다.
• 손상된 리소스를 사용하지 않도록 설정하거나 삭제합니다.
  • 위협 행위자 식별 및 제거: Microsoft 및 Azure 보안 리소스를 사용하여 시스템 ID 손상으로부터 복구할 수 있습니다.
  • Azure 활동 로그에서 구독 수준 변경 내용을 확인합니다.
  • 권한 없는 당사자가 만든 리소스의 할당을 취소하고 제거합니다. Azure 구독 클린 유지하는 방법 보기 | Azure 팁 및 요령(비디오)
  • API(Azure 자격 취소) 또는 파트너 센터 포털을 통해 고객의 Azure 구독을 취소할 수 있습니다.
  • 즉시 Azure 지원 문의하고 인시던트 보고
  • 이벤트 후 스토리지 정리: 연결되지 않은 Azure 관리 디스크 및 관리되지 않는 디스크 찾기 및 삭제 - Azure Virtual Machines

계정 손상 방지는 복구하는 것보다 쉽습니다. 따라서 보안 태세를 강화하는 것이 중요합니다.

• 고객 Azure 구독의 할당량을 검토하고 요청을 제출하여 사용되지 않는 할당량을 줄입니다. 자세한 내용은 할당량 줄이기를 참조하세요.
• 클라우드 솔루션 공급자 보안 모범 사례를 검토하고 구현합니다.
• 고객과 협력하여 고객 보안 모범 사례를 알아보고 구현 합니다.
• 클라우드용 Defender켜져 있는지 확인합니다(이 서비스에 사용할 수 있는 무료 계층이 있음).

자세한 내용은 문서 지원을 참조하세요.

모니터링을 위한 추가 도구

• Azure Portal에서 경고 설정
• 고객에 대한 Azure 지출 예산 설정

최종 고객을 준비하는 방법

Microsoft는 최종 고객에게 이동하는 Azure 구독에 알림을 보냅니다. 최종 고객과 협력하여 적절하게 작동하고 환경 내에서 다양한 보안 문제를 경고할 수 있는지 확인합니다.

• Azure Monitor 또는 Azure Cost Management를 사용하여 사용량 경고를 설정합니다.
• 보안 및 기타 관련 문제에 대한 Microsoft의 다른 알림을 인식하도록 Service Health 경고를 설정합니다.
• 조직의 테넌트 관리(파트너가 관리하지 않는 경우)와 협력하여 테넌트에 보안 강화 조치를 적용합니다(다음 섹션 참조).

테넌트 보호를 위한 추가 정보

• Azure 자산에 대한 운영 보안 모범 사례를 검토하고 구현 합니다.

• 다단계 인증을 적용하여 ID 보안 태세를 강화합니다.

• 위험 수준이 높은 사용자 및 로그인에 대한 위험 정책 및 경고를 구현합니다. Microsoft Entra ID Protection이란?

사용자 또는 고객의 Azure 구독을 무단으로 사용하는 것으로 의심되는 경우 Microsoft가 다른 질문이나 문제를 신속하게 처리할 수 있도록 Microsoft Azure 지원에 참여하세요.

파트너 센터에 대한 구체적인 질문이 있는 경우 파트너 센터에서 지원 요청을 제출합니다. 자세한 내용은 파트너 센터에서 지원을 받으세요.

활동 로그에서 보안 알림 확인

1. 파트너 센터에 로그인하고 오른쪽 위 모서리에서 설정(기어) 아이콘을 선택한 다음, 계정 설정 작업 영역을 선택합니다.
2. 왼쪽 패널에서 활동 로그로 이동합니다.
3. 위쪽 필터에서 From 및 To 날짜를 설정합니다.
4. 작업 유형별 필터에서 감지된 Azure Fraud 이벤트를 선택합니다. 선택한 기간 동안 검색된 모든 보안 경고 이벤트를 볼 수 있어야 합니다.

파트너가 이전 Azure 보안 경고를 받는 이유는 무엇인가요?

Microsoft는 2021년 12월부터 Azure Fraud 경고를 보내고 있습니다. 그러나 과거에 경고 알림은 파트너가 알림을 수신하도록 옵트인해야 하는 옵트인 기본 설정만을 기반으로 했습니다. 이 동작을 변경했습니다. 이제 파트너는 열려 있는 모든 사기 행위 경고(이전 경고 포함)를 해결해야 합니다. 사용자와 고객의 보안 상태를 보호하려면 클라우드 솔루션 공급자 보안 모범 사례를 따르세요.

Microsoft는 지난 60일 이내에 해결되지 않은 활성 사기 경고가 있는 경우 일일 사기 요약(영향을 받는 파트너, 고객 및 구독 수)을 보내고 있습니다.

모든 경고가 표시되지 않는 이유는 무엇인가요?

보안 경고 알림은 Azure에서 특정 비정상적인 작업의 패턴을 검색하는 것으로 제한됩니다. 보안 경고 알림은 검색되지 않으며 모든 비정상적인 동작을 검색하도록 보장되지 않습니다. 월별 Azure 지출 예산과 같이 고객의 Azure 구독에서 비정상적인 사용량을 감지하는 데 도움이 되는 다른 모니터링 방법을 사용하는 것이 중요합니다. 중요하고 가음성이 있는 경고를 수신하는 경우 파트너 지원에 문의하고 다음 정보를 제공합니다.

• 파트너 테넌트 ID
• 고객 테넌트 ID
• 구독 ID
• 리소스 ID
• 영향 시작 및 영향 종료 날짜

다음 단계

• 보안 경고 API와 통합하고 웹후크를 등록합니다.