Reageren op beveiligingsevenementen met het dashboard Beveiligingswaarschuwingen

Juiste rollen: Beheerdersagent

Van toepassing op: partners voor directe facturering van partnercentrum en indirecte providers

Met het dashboard Beveiligingswaarschuwingen van Partner Center kunt u snel reageren op beveiligings-, fraude- en andere gebeurtenissen die optreden in het Partnercentrum of de tenant van uw klant.

API's

Als u meerdere Microsoft Entra-tenants in Partnercentrum hebt, kunt u de volgende API's gebruiken om waarschuwingen op te halen en bij te werken in plaats van het dashboard Beveiligingswaarschuwingen te gebruiken:

• Azure-fraudemelding - Fraudegebeurtenissen ophalen
• Azure-fraudemelding - Status van fraudegebeurtenis bijwerken

Vereisten

Als u het dashboard Beveiligingswaarschuwingen van Partnercentrum wilt gebruiken, moet aan uw gebruikersaccount de rol Beheerderagent worden toegewezen.

Urgentie van tijdige reactie op waarschuwingen

Wanneer een waarschuwing in uw dashboard wordt gemaakt, is het van cruciaal belang dat u het incident sorteert en beperkt dat de waarschuwing zo snel mogelijk is veroorzaakt. Als leidraad raden we u aan om binnen één uur te reageren op waarschuwingen. Hoe langer u nodig hebt om te reageren op het incident dat de waarschuwing heeft veroorzaakt, hoe groter de mogelijke financiële impact voor het fraudetype.

Het dashboard openen

Ga als volgende te werk om het dashboard Beveiligingswaarschuwingen van Partner center te openen:

1. Meld u aan bij partnercentrum als gebruiker met de rol Beheerderagent.
2. Selecteer de werkruimte Insights .
3. Selecteer waarschuwingen in het linkermenu onder Beveiliging.

U kunt deze koppeling ook gebruiken om rechtstreeks naar het dashboard te gaan.

Waarschuwingen weergeven

Het dashboard bevat informatie over de volgende waarschuwingscategorieën.

• Gemiddelde tijd: de gemiddelde tijd waarop moet worden gereageerd en waarschuwingen in de afgelopen 30 dagen moet worden opgelost.
• Nieuwe gebeurtenissen deze week: Het aantal nieuwe waarschuwingen voor de afgelopen zeven dagen.
• Opgelost: het aantal waarschuwingen dat is opgelost met een opgegeven reden (bijvoorbeeld Legitiem of Fraude).
• Niet opgelost: het aantal niet-opgeloste waarschuwingen dat aandacht nodig heeft.

Het onderste gedeelte van het dashboard bevat waarschuwingen die van invloed zijn op de Partnercentrum-tenant waarin u bent aangemeld.

De tabel bevat de volgende kolommen:

• Waarschuwingsnaam: informatie op hoog niveau over wat is gedetecteerd.
• Abonnements-id: een id die wordt weergegeven wanneer een waarschuwing wordt gedetecteerd in een specifiek Azure-abonnement.
• Waarschuwings-id: de unieke id voor de waarschuwing.
• Waarschuwingsstatus: de status van de waarschuwing (actief of opgelost).
• Eerste waargenomen: De eerste keer dat de waarschuwing werd weergegeven.
• Laatst waargenomen: de meest recente keer dat de waarschuwing werd weergegeven.
• Waarschuwingstype: het type activiteit dat is gedetecteerd en dat de waarschuwing heeft veroorzaakt. Er zijn twee waarschuwingstypen:
  • Azure-melding: Geeft aan dat er een bericht is verzonden naar de klant van het betrokken Azure-abonnement en wordt weergegeven als een Service Health-melding . Er wordt een kopie van dit bericht weergegeven in de waarschuwingsgegevens.
  • Azure-gebruik: geeft een ongebruikelijke toename van de activiteit in het Azure-abonnement aan of een afwijkende activiteit die plaatsvindt in het abonnement, zoals cryptovalutaanalyse.
• Ernst: het urgentieniveau bij het reageren op de waarschuwing.

U kunt de optie Filter gebruiken om te wijzigen welke waarschuwingen worden weergegeven op het dashboard Waarschuwing .

U kunt de zoekfunctie gebruiken om alle waarschuwingen te doorzoeken op de informatie die u in het vak invoert. De zoekresultaten bevatten de volgende informatie:

• Abonnements-id
• Waarschuwings-id
• Klantnaam

Acties op de detailpagina van de waarschuwing

Als u meer informatie over een waarschuwing wilt weergeven, selecteert u de naam van de waarschuwing. In de volgende voorbeeldwaarschuwing ziet u bijvoorbeeld gedrag dat betrekking heeft op cryptovaluta-mining in een Azure-abonnement.

Bovenste sectie

Boven aan de detailpagina van de waarschuwing worden klant- en resellergegevens (indien van toepassing) weergegeven.

Waarschuwingsbeschrijving

De sectie Beschrijving van waarschuwing biedt een overzicht van de reden waarom de waarschuwing heeft plaatsgevonden, samen met de stappen die u moet onderzoeken.

Betrokken resources

De sectie Betrokken resources bevat twee acties:

• Markeren als legitiem: u hebt de resources onderzocht en er is geen bewijs gevonden van wat de waarschuwing heeft aangegeven of geverifieerd met de klant dat het gedrag wordt verwacht.
• Markeren als fraude: u hebt de resources onderzocht en vastgesteld dat ze het gedrag van de waarschuwing hebben uitgevoerd.

Wanneer u uw onderzoek naar de waarschuwing voltooit, selecteert u een actie om partnercentrum te vertellen wat u hebt ontdekt. Als u een actie selecteert, wordt de waarschuwing opgelost gemarkeerd. De actie die u selecteert, geeft de reden aan (dat wil gezegd de redenwaarde) waarom u de waarschuwing wilt oplossen.

Resourcegegevens

De sectie Resourcegegevens bevat details over de resources die betrokken zijn bij de detectie die de waarschuwing heeft veroorzaakt. In dit voorbeeld is er een virtuele machine met de naam badvmtest in de resourcegroep met de naam testserver. De waarden voor de eerste verbindingstijd en de laatste verbindingstijd geven aan wanneer we deze resource voor het eerst hebben gedetecteerd met een bekende mijnbouwgroep en de meest recente keer dat we deze hebben waargenomen.

Aanvullende informatie

De sectie Aanvullende informatie bevat details over het gedrag dat de resource vertoont, indien beschikbaar. In dit voorbeeld communiceerde de virtuele machine badvmtest met het IP-adres van een bekende mijnbouwgroep. In de sectie Resourcegegevens ziet u dat deze vier keer is verbonden met het IP-adres tussen de eerste verbindingstijd en de laatste verbindingstijd.

Resources

Gebruik in de sectie Resources de koppelingen voor meer informatie over waarschuwingen en wat u moet doen wanneer u een waarschuwing ontvangt.

Onderste sectie

Onder aan de detailpagina van de waarschuwing ziet u drie knoppen voor acties die u kunt uitvoeren.

• Abonnement opzeggen: u moet de rollen Globale beheerder en Beheerderagent hebben om deze actie te kunnen gebruiken. Als uw onderzoek naar de waarschuwing aangeeft dat een niet-geautoriseerde partij het Azure-abonnement heeft overschreden, kunt u Abonnement annuleren selecteren om de toewijzing van alle resources in het Azure-abonnement ongedaan te maken en alle gegevens in het abonnement te markeren voor verwijdering na de bewaarperiode.

  Voordat u deze actie onderneemt, raden we u aan om met uw klant te communiceren over de waarschuwing en (indien mogelijk) hun toestemming te krijgen om het abonnement te annuleren. Wanneer u de knop selecteert, wordt er een dialoogvenster weergegeven en wordt u gevraagd te bevestigen dat u de impact van deze actie begrijpt.

  

  Als u het Azure-abonnement wilt annuleren, selecteert u Doorgaan met annuleren. Wanneer u Doorgaan met annuleren selecteert, wordt het abonnement geannuleerd en worden alle waarschuwingen voor dat abonnement gemarkeerd als Opgelost met de reden fraude.

  Zie Een Azure-abonnement annuleren voor meer informatie.

• Abonnement beheren: Met deze actie gaat u naar De Azure-portal met behulp van beheerder namens (AOBO). Op basis van het toegangsniveau dat de klant aan u heeft verleend, kunt u mogelijk de resources die zijn aangegeven in de waarschuwingsgegevens verder onderzoeken. Zie Abonnementen en resources beheren onder het Azure-plan voor meer informatie.

• Terug naar waarschuwingen: met deze actie keert u terug naar het dashboard Beveiligingswaarschuwingen met de lijst met waarschuwingen.

Acties op het dashboard Beveiligingswaarschuwingen

Boven de lijst met waarschuwingen op het dashboard Beveiligingswaarschuwingen bevinden zich twee acties die u kunt uitvoeren.

• Abonnement opzeggen: u moet de rollen Globale beheerder en Beheerderagent hebben om deze actie te kunnen gebruiken. Als uw onderzoek naar de waarschuwing aangeeft dat een niet-geautoriseerde partij het Azure-abonnement heeft overschreden, kunt u Abonnement annuleren selecteren om de toewijzing van alle resources in het Azure-abonnement ongedaan te maken en alle gegevens in het abonnement te markeren voor verwijdering na de bewaarperiode.

  Voordat u deze actie onderneemt, raden we u aan om met uw klant te communiceren over de waarschuwing en (indien mogelijk) hun toestemming te krijgen om het abonnement te annuleren. Wanneer u de knop selecteert, wordt er een dialoogvenster weergegeven en wordt u gevraagd te bevestigen dat u de impact van deze actie begrijpt.

  Als u het Azure-abonnement wilt annuleren, selecteert u Doorgaan met annuleren.

  

• Exporteren: Als u alle gedetailleerde informatie over de waarschuwingen wilt exporteren, kunt u de actie Exporteren gebruiken om een csv-bestand (door komma's gescheiden waarden) te downloaden dat de waarschuwingsgegevens bevat.

  Deze actie produceert een CSV-bestand met alleen de waarschuwingen die u momenteel bekijkt. Als u de waarschuwingen wilt aanpassen die u wilt exporteren, gebruikt u de optie Filter .

Gerelateerde inhoud

• Detectie en melding van Azure-fraude