보안 경고 대시보드를 사용하여 보안 이벤트에 응답
적절한 역할: 관리 에이전트
적용 대상: 파트너 센터 직접 청구 및 간접 공급자
파트너 센터 보안 경고 대시보드를 사용하면 파트너가 파트너 센터 또는 고객 테넌트에서 발생하는 보안, 사기 및 기타 이벤트에 신속하게 대응할 수 있습니다.
API
파트너 센터 Microsoft Entra 테넌트가 여러 개 있는 파트너의 경우 다음 API를 사용하여 경고 대시보드를 사용하는 대신 경고를 가져오고 업데이트할 수 있습니다.
필수 조건
파트너 센터 보안 경고 대시보드를 사용하려면 사용자 계정에 관리 에이전트 역할이 할당되어야 합니다.
경고에 대한 시기적시 대응의 중요성
대시보드에 경고가 생성되면 경고를 발생시킨 인시던트를 최대한 빨리 심사하고 완화하는 것이 중요합니다. 지침 원칙으로 1시간 이내에 경고에 응답하는 것이 좋습니다. 사기 유형 경고의 경우 경고를 발생시킨 인시던트에 대응하고 완화하는 데 걸리는 시간이 길어질수록 잠재적으로 더 많은 재정적 영향이 발생할 수 있습니다.
경고 대시보드로 이동
파트너 센터 보안 경고 대시보드에 액세스하려면 다음을 수행합니다.
- 관리 에이전트 역할을 가진 사용자를 사용하여 파트너 센터에 로그인합니다.
- Insights 작업 영역을 선택합니다.
- 왼쪽 탐색 메뉴의 보안 아래에서 경고를 선택합니다.
경고 보기
경고 페이지에는 다음이 표시됩니다.
- 이번 주 새 경고 - 지난 7일 동안의 새 경고 수입니다.
- 해결됨 - 지정된 이유(예 : 합법적인 경고 또는 사기)로 해결된 경고 수입니다.
- 활성 및 진행 중 - 주의가 필요한 해결되지 않은 경고 수입니다.
경고 페이지의 아래쪽 섹션에는 로그인한 파트너 센터 테넌트에 영향을 주는 경고가 나열됩니다.
- 경고 이름 - 이 이름은 검색된 내용에 대한 높은 수준의 정보를 표시합니다.
- 구독 ID - 이 식별자는 특정 Azure 구독에서 경고가 검색될 때 표시됩니다.
- 경고 ID - 경고의 고유 식별자입니다.
- 경고 상태 - 경고의 상태(활성 또는 해결됨)
- 처음 관찰됨 - 경고가 처음으로 표시된 시간입니다.
- 마지막으로 관찰됨 - 경고가 표시된 가장 최근 시간입니다.
- 경고 유형 - 검색되어 경고를 발생시킨 활동의 유형입니다. 다음과 같은 두 가지 경고 유형이 있습니다.
- Azure 알림 - 이 경고는 영향을 받는 Azure 구독의 고객에게 메시지를 보내고 Service Health 알림으로 표시됨을 나타냅니다. 이 메시지의 복사본은 경고 세부 정보에 표시됩니다.
- Azure 사용량 - 이 경고는 Azure 구독에서 비정상적인 활동 증가 또는 구독에서 발생하는 비정상적인 활동(예: 암호화 통화 마이닝)을 나타냅니다.
- 심각도 - 경고에 응답할 때 수행해야 하는 긴급 수준을 나타냅니다.
필터 옵션을 사용하면 경고 페이지에 표시되는 경고를 변경할 수 있습니다.
검색을 사용하면 검색 필드에 입력한 정보에 대한 모든 경고를 검색하고 경고 페이지를 열 수 있습니다. 다음 필드가 검색됩니다.
- 구독 ID
- 경고 ID
- 고객 이름
경고 세부 정보 페이지의 작업
경고 세부 정보 페이지의 예:
경고에 대한 자세한 내용을 보려면 경고 이름을 선택합니다. 예를 들어 다음 예제 경고는 Azure 구독에서 발생하는 암호 화폐 마이닝과 관련된 동작을 보여줍니다.
경고 세부 정보 페이지의 맨 위에 고객 정보 및 재판매인(해당하는 경우)이 표시됩니다.
경고 설명은 경고가 발생한 이유와 조사 단계에 대한 개요를 제공합니다.
영향을 받은 리소스 섹션에는 다음 정보가 표시됩니다.
리소스 정보 - 경고를 발생시킨 검색에 관련된 리소스에 대한 세부 정보입니다. 이 예제에서는 리소스 그룹 "testserver"에 "badvmtest"라는 가상 머신이 있습니다. 첫 번째 연결 시간 및 마지막 연결 시간은 알려진 마이닝 풀에 연결한 이 리소스를 처음 감지한 시기와 가장 최근에 관찰된 시간을 나타냅니다.
추가 정보 - 리소스에서 나타내는 동작에 대한 세부 정보를 사용할 수 있는 경우 여기에 표시됩니다. 이 예제에서 가상 머신 "badvmtest" 는 알려진 마이닝 풀의 IP 주소와 통신했습니다. 리소스 정보 섹션에서는 첫 번째 연결 시간과 마지막 연결 시간 사이에 IP 주소에 4번 연결되어 있는 것을 보여줍니다.
작업 표시줄 - 경고에 대한 조사를 완료하면 파트너 센터에 검색한 내용을 알리는 작업을 선택합니다. 작업을 선택하면 경고 가 해결됨으로 표시됩니다. 선택한 작업은 경고를 해결하는 이유를 나타냅니다. 제공되는 옵션은 다음과 같습니다.
- 합법적인 것으로 표시 - 리소스를 조사한 결과 경고가 표시한 내용에 대한 증거를 찾지 못했거나 고객과 검사 경우 해당 동작이 예상됨을 나타냅니다.
- 사기 로 표시 - 리소스를 조사한 결과 경고로 표시되는 동작을 수행하고 있음을 발견했습니다.
리소스 - 경고의 이 섹션에 있는 링크를 사용하여 경고를 받을 때 수행할 작업 및 경고에 대해 자세히 알아봅니다.
리소스 - 경고를 받을 때 수행할 작업 및 경고에 대해 자세히 알아봅니다.
경고를 선택하여 경고 세부 정보 페이지를 엽니다.
경고 세부 정보 페이지의 작업
경고 세부 정보 페이지의 예:
경고 세부 정보 예제 페이지에는 수행할 수 있는 세 가지 작업이 표시됩니다.
구독 취소 - 이 작업을 사용하려면 전역 관리istrator 및 관리 에이전트 역할이 모두 있어야 합니다. 경고에 대한 조사 결과 Azure 구독이 권한 없는 당사자에 의해 추월되었음을 나타내는 경우 구독 취소를 선택하여 Azure 구독 의 모든 리소스를 할당 취소하고 보존 기간 후에 삭제할 구독의 모든 데이터를 표시할 수 있습니다. 이 작업을 수행하기 전에 고객에게 경고에 대해 알리고 가능한 경우 구독을 취소하는 데 동의하는 것이 좋습니다. 이 단추를 선택하면 다음 확인 페이지가 표시되어 이 작업의 영향을 이해할 수 있습니다. 취소와 함께 계속을 선택하여 Azure 구독을 취소합니다. 취소로 계속을 선택하면 구독이 취소되고 해당 구독에 대한 모든 경고가 사기로 인해 해결됨으로 표시됩니다.
자세한 내용은 Azure 구독 취소를 참조 하세요.
구독 관리 - 구독 관리 작업을 수행하면 대신 관리 사용하여 Azure 관리 포털로 이동합니다. 고객이 사용자에게 부여한 액세스 수준에 따라 경고 세부 정보에서 표시된 리소스를 추가로 조사할 수 있습니다. 자세한 내용은 Azure 플랜에 따라 구독 및 리소스 관리를 참조하세요.
경고로 돌아가기 - 경고 목록이 있는 기본 경고 대시보드 페이지로 돌아갑니다.
경고 페이지의 작업
경고 페이지의 경고 목록 위에는 수행할 수 있는 두 가지 작업이 있습니다.
구독 취소 - 이 작업을 사용하려면 전역 관리istrator 및 관리 에이전트 역할이 모두 있어야 합니다. 경고에 대한 조사 결과 Azure 구독이 권한 없는 당사자에 의해 추월되었음을 나타내는 경우 구독 취소를 선택하여 Azure 구독 의 모든 리소스를 할당 취소하고 보존 기간 후에 삭제할 구독의 모든 데이터를 표시할 수 있습니다. 이 작업을 수행하기 전에 고객에게 경고에 대해 알리고 가능한 경우 구독을 취소하는 데 동의하는 것이 좋습니다. 이 단추를 선택하면 이 작업의 영향을 이해하는 데 도움이 되는 다음 확인 페이지가 표시됩니다. 취소와 함께 계속을 선택하여 Azure 구독을 취소합니다.
내보내기 - 경고에 대한 자세한 정보를 모두 내보내려면 내보내기 작업을 사용하여 경고 정보가 포함된 CSV (쉼표로 구분된 값) 파일을 다운로드할 수 있습니다. 참고: 내보내기에서는 현재 보고 있는 경고만 있는 CSV 파일을 생성합니다. 내보내려는 경고를 표시하도록 필터 옵션을 조정합니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기