Beveiligingswaarschuwingen detecteren en erop reageren
Juiste rollen: Beheer agent
Van toepassing op: Directe factuur van partnercentrum en indirecte providers
U kunt zich abonneren op een nieuwe beveiligingswaarschuwing voor detecties met betrekking tot misbruik door onbevoegden en accountovernames. Deze beveiligingswaarschuwing is een van de vele manieren waarop Microsoft de gegevens biedt die u nodig hebt om de tenants van uw klant te beveiligen. U kunt zich abonneren op een nieuwe beveiligingswaarschuwing voor detecties met betrekking tot misbruik door onbevoegden en accountovernames. Deze beveiligingswaarschuwing is een van de vele manieren waarop Microsoft de gegevens biedt die u nodig hebt om de tenants van uw klant te beveiligen.
Belangrijk
Als partner in het CSP-programma (Cloud Solution Provider) bent u verantwoordelijk voor het Azure-verbruik van uw klanten. Het is dus belangrijk dat u op de hoogte bent van afwijkend gebruik in de Azure-abonnementen van uw klant. Gebruik Beveiligingswaarschuwingen van Microsoft Azure om patronen van frauduleuze activiteiten en misbruik in Azure-resources te detecteren om uw blootstelling aan onlinetransactierisico's te verminderen. Beveiligingswaarschuwingen van Microsoft Azure detecteren niet alle soorten frauduleuze activiteiten of misbruik, dus het is van cruciaal belang dat u aanvullende bewakingsmethoden gebruikt om afwijkend gebruik in de Azure-abonnementen van uw klant te detecteren. Zie Niet-betaling, fraude of misbruik beheren en Klantaccounts beheren voor meer informatie.
Actie vereist: Met bewaking en signaalbewustzijn kunt u onmiddellijk actie ondernemen om te bepalen of het gedrag legitiem of frauduleus is. Indien nodig kunt u de betrokken Azure-resources of Azure-abonnementen onderbreken om een probleem te verhelpen.
Zorg ervoor dat het gewenste e-mailadres voor uw partner-Beheer-agents up-to-date is, zodat ze samen met de beveiligingscontactpersonen kunnen worden gewaarschuwd.
Abonneren op beveiligingswaarschuwingen
U kunt zich abonneren op verschillende partnermeldingen op basis van uw rol.
Beveiligingswaarschuwingen melden u wanneer het Azure-abonnement van uw klant afwijkende activiteiten weergeeft.
Waarschuwingen per e-mail ontvangen
- Meld u aan bij het Partnercentrum en selecteer Meldingen (bel).
- Selecteer Mijn voorkeuren.
- Stel een voorkeurs-e-mailadres in als u dit nog niet hebt gedaan.
- Stel de voorkeurstaal voor de melding in als u dit nog niet hebt gedaan.
- Selecteer Bewerken naast voorkeuren voor e-mailmeldingen.
- Schakel alle selectievakjes in met betrekking tot klanten in de kolom Werkruimte. (Als u zich wilt afmelden, schakelt u de selectie van de transactionele sectie onder de werkruimte van de klant uit.)
- Selecteer Opslaan.
We verzenden beveiligingswaarschuwingen wanneer we mogelijke beveiligingswaarschuwingen detecteren of misbruiken in een aantal Microsoft Azure-abonnementen van uw klanten. Er zijn drie typen e-mailberichten:
- Dagelijks overzicht van niet-opgeloste beveiligingswaarschuwingen (aantal partners, klanten en abonnementen dat wordt beïnvloed door verschillende waarschuwingstypen)
- Bijna realtime beveiligingswaarschuwingen. Zie Fraude-gebeurtenissen ophalen voor een lijst met Azure-abonnementen met mogelijke beveiligingsproblemen.
- Meldingen over beveiligingsadvies in bijna realtime. Deze meldingen bieden inzicht in de meldingen die naar de klant worden verzonden wanneer er een beveiligingswaarschuwing is.
Partners voor directe facturering van Cloud Solution Provider (CSP) kunnen meer waarschuwingen zien voor activiteiten, bijvoorbeeld: afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en meldingen over servicestatus. Partners voor directe facturering van Cloud Solution Provider (CSP) kunnen meer waarschuwingen zien voor activiteiten, bijvoorbeeld: afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en meldingen over servicestatus.
Waarschuwingen ontvangen via een webhook
Partners kunnen zich registreren bij een webhook-gebeurtenis: azure-fraud-event-detected om waarschuwingen te ontvangen voor resourcewijzigingsevenementen. Zie Webhook-gebeurtenissen in Partnercentrum voor meer informatie.
Waarschuwingen bekijken en erop reageren via het dashboard Beveiligingswaarschuwingen
CSP-partners hebben toegang tot het dashboard Beveiligingswaarschuwingen van Partner Center om waarschuwingen te detecteren en erop te reageren. Zie Reageren op beveiligingsevenementen met het dashboard Beveiligingswaarschuwingen van Partner Center voor meer informatie. CSP-partners hebben toegang tot het dashboard Beveiligingswaarschuwingen van Partner Center om waarschuwingen te detecteren en erop te reageren. Zie Reageren op beveiligingsevenementen met het dashboard Beveiligingswaarschuwingen van Partner Center voor meer informatie.
Waarschuwingsgegevens ophalen via API
De nieuwe Microsoft Graph Security Alerts-API (bèta) gebruiken
Voordelen: vanaf mei 2024 is de preview-versie van de Microsoft Graph Security Alerts-API beschikbaar. Deze API biedt een uniforme API-gateway-ervaring in andere Microsoft-services zoals Microsoft Entra ID, Teams en Outlook.
Vereisten voor onboarding: CSP-partners die onboarding uitvoeren, zijn vereist voor het gebruik van de nieuwe bèta-API voor beveiligingswaarschuwingen. Zie De BEVEILIGINGSwaarschuwings-API van de partner gebruiken in Microsoft Graph voor meer informatie.
De MICROSOFT Graph Security Alerts API V1-versie wordt uitgebracht in juli 2024.
| Gebruiksscenario | API's |
|---|---|
| Onboarden bij Microsoft Graph API om toegangstoken op te halen | Toegang krijgen namens een gebruiker |
| Beveiligingswaarschuwingen weergeven om inzicht te krijgen in de waarschuwingen | SecurityAlerts vermelden |
| Beveiligingswaarschuwingen ophalen om inzicht te krijgen in een specifieke waarschuwing op basis van de geselecteerde queryparameter. | PartnerSecurityAlert ophalen |
| Token ophalen om de Partner Center-API's aan te roepen voor referentie-informatie | Beveiligd toepassingsmodel inschakelen |
| Uw organisatieprofielgegevens ophalen | Een organisatieprofiel ophalen |
| Uw klantgegevens ophalen op id | Een klant ophalen op basis van id |
| De gegevens van indirecte resellers van een klant ophalen op basis van id | Indirecte resellers van een klant ophalen |
| Abonnementsgegevens van de klant ophalen op id | Een abonnement ophalen op id |
| Waarschuwingsstatus bijwerken en oplossen wanneer dit is verholpen | PartnerSecurityAlert bijwerken |
Ondersteuning voor de bestaande FraudEvents-API
Belangrijk
De VEROUDERDE API voor fraude-gebeurtenissen wordt afgeschaft in CY Q4 2024. Kijk voor meer informatie naar maandelijkse aankondigingen voor partnercentrumbeveiliging. CSP-partners moeten migreren naar de nieuwe Microsoft Graph Security Alerts-API, die nu beschikbaar is in preview.
Tijdens de overgangsperiode kunnen CSP-partners de FraudEvents-API blijven gebruiken om extra detectiesignalen op te halen met behulp van X-NewEventsModel. Met dit model kunt u nieuwe typen waarschuwingen krijgen wanneer deze worden toegevoegd aan het systeem, bijvoorbeeld afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en servicestatusadviesmeldingen. Nieuwe typen waarschuwingen kunnen met beperkte kennisgeving worden toegevoegd, omdat bedreigingen ook worden ontwikkeld. Als u speciale verwerking via de API gebruikt voor verschillende waarschuwingstypen, controleert u deze API's op wijzigingen:
Wat u moet doen wanneer u een melding over een beveiligingswaarschuwing ontvangt
De volgende controlelijst bevat voorgestelde volgende stappen voor wat u moet doen wanneer u een beveiligingsmelding ontvangt.
- Controleer of de e-mailmelding geldig is. Wanneer we beveiligingswaarschuwingen verzenden, worden ze verzonden vanuit Microsoft Azure, met het e-mailadres:
no-reply@microsoft.comPartners ontvangen alleen meldingen van Microsoft. - Wanneer u een melding ontvangt, kunt u de e-mailwaarschuwing ook zien in de portal van het Actiecentrum. Selecteer het belpictogram om de waarschuwingen van het Actiecentrum weer te geven.
- Bekijk de Azure-abonnementen. Bepaal of de activiteit in het abonnement legitiem en verwacht is, of dat de activiteit kan worden veroorzaakt door onbevoegd misbruik of fraude.
- Laat ons weten wat u hebt gevonden via het dashboard Beveiligingswaarschuwingen of via de API. Zie De gebeurtenisstatus fraude bijwerken voor meer informatie over het gebruik van de API. Gebruik de volgende categorieën om te beschrijven wat u hebt gevonden:
- Legitiem : de activiteit wordt verwacht of een fout-positief signaal.
- Fraude : de activiteit wordt veroorzaakt door onbevoegd misbruik of fraude.
- Negeren : de activiteit is een oudere waarschuwing en moet worden genegeerd. Zie Waarom ontvangen partners oudere beveiligingswaarschuwingen? voor meer informatie.
Welke andere stappen kunt u ondernemen om het risico op inbreuk te verlagen?
- Meervoudige verificatie (MFA) inschakelen voor uw klant- en partnertenants. Accounts met machtigingen voor het beheren van Azure-abonnementen van klanten moeten MFA-compatibel zijn. Zie best practices voor beveiliging van Cloud Solution Provider en best practices voor klantbeveiliging voor meer informatie.
- Stel waarschuwingen in om toegangsmachtigingen op basis van rollen (RBAC) van Azure te bewaken voor azure-abonnementen van klanten. Zie Het Azure-plan - Abonnementen en resources beheren voor meer informatie.
- Controlemachtigingen voor azure-abonnementen van uw klanten. Bekijk het Activiteitenlogboek van Azure Monitor voor activiteiten die betrekking hebben op een Azure-abonnement.
- Bekijk bestedingsafwijkingen op basis van uw uitgavenbudget in Azure Cost Management.
- Informeer en werk samen met de klanten om het ongebruikte quotum te verminderen om te voorkomen dat de schade die is toegestaan in het Azure-abonnement: Quotaoverzicht - Azure-quota.
- Aanvraag indienen voor het beheren van Azure-quotum: een ondersteuning voor Azure-aanvraag maken - ondersteuning voor Azure baarheid
- Bekijk het huidige quotumgebruik: Naslaginformatie over azure Quota REST API
- Als u kritieke workloads uitvoert waarvoor hoge capaciteit is vereist, kunt u overwegen om capaciteitsreservering op aanvraag of gereserveerde instanties van virtuele machines van Azure uit te voeren
Wat moet u doen als er inbreuk is gemaakt op een Azure-abonnement?
Neem onmiddellijk actie om uw account en gegevens te beveiligen. Hier volgen enkele suggesties en tips om snel te reageren en een potentieel incident te bevatten om de impact en het totale bedrijfsrisico te verminderen.
Het herstellen van gecompromitteerde identiteiten in een cloudomgeving is van cruciaal belang voor de algehele beveiliging van cloudsystemen. Gecompromitteerde identiteiten kunnen aanvallers toegang bieden tot gevoelige gegevens en resources, waardoor het essentieel is om onmiddellijk actie te ondernemen om het account en de gegevens te beveiligen.
Referenties onmiddellijk wijzigen voor:
- Tenantbeheerders en RBAC-toegang op Azure-abonnementen Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)?
- Volg de wachtwoordrichtlijnen. Aanbevelingen voor wachtwoordbeleid
- Zorg ervoor dat alle tenantbeheerders en RBAC-eigenaren MFA hebben geregistreerd en afgedwongen
Controleer en controleer alle e-mails en telefoonnummers voor wachtwoordherstel van globale beheerders binnen Microsoft Entra ID. Werk ze indien nodig bij. Aanbevelingen voor wachtwoordbeleid
Controleer welke gebruikers, tenants en abonnementen risico lopen in Azure Portal.
- Onderzoek het risico door naar Microsoft Entra ID te gaan om de risicorapporten van Identity Protection te bekijken. Zie Risico's van Microsoft Entra ID Protection onderzoeken voor meer informatie
- Licentievereisten voor Identity Protection
- Risico's herstellen en gebruikers deblokkeren
- Gebruikerservaringen met Microsoft Entra ID Protection
Bekijk de aanmeldingslogboeken van Microsoft Entra op de tenant van de klant om ongebruikelijke aanmeldingspatronen te zien rond het moment waarop de beveiligingswaarschuwing wordt geactiveerd.
Nadat kwaadwillende actoren zijn verwijderd, schoont u de aangetaste resources op. Houd het betreffende abonnement in de gaten om ervoor te zorgen dat er geen verdere verdachte activiteiten zijn. Het is ook een goed idee om regelmatig uw logboeken en audittrails te controleren om ervoor te zorgen dat uw account veilig is.
- Controleer op niet-geautoriseerde activiteiten in het Azure-activiteitenlogboek, bijvoorbeeld wijzigingen in onze facturering, het gebruik voor niet-gefactureerde regelitems voor commerciële verbruik of configuraties.
- Bekijk bestedingsafwijkingen op basis van het bestedingsbudget van de klant in Azure Cost Management.
- Schakel gecompromitteerde resources uit of verwijder deze:
- Identificeer en verwijder de bedreigingsacteur: gebruik Microsoft- en Azure-beveiligingsresources om te helpen herstellen van systemische identiteitscompromittatie.
- Controleer het Azure-activiteitenlogboek eventuele wijzigingen op abonnementsniveau.
- De toewijzing van resources ongedaan maken en verwijderen die zijn gemaakt door onbevoegde partijen. Bekijk hoe u uw Azure-abonnement schoon kunt houden | Tips en trucs voor Azure (video)
- U kunt de Azure-abonnementen van de klanten annuleren via de API (Een Azure-rechten annuleren) of via de Partnercentrum-portal.
- Neem onmiddellijk contact op met ondersteuning voor Azure en meld het incident
- Opslag opschonen na de gebeurtenis: niet-gekoppelde beheerde en niet-beheerde Azure-schijven zoeken en verwijderen - Azure Virtual Machines
Het voorkomen van inbreuk op accounts is eenvoudiger dan het herstellen ervan. Daarom is het belangrijk om uw beveiligingspostuur te versterken.
- Controleer het quotum voor de Azure-abonnementen van klanten en dien de aanvraag in om het ongebruikte quotum te verminderen. Zie Quotum beperken voor meer informatie.
- Bekijk en implementeer de best practices voor cloud solution provider-beveiliging.
- Werk samen met uw klanten om de best practices voor klantbeveiliging te leren en te implementeren.
- Zorg ervoor dat Defender voor Cloud is ingeschakeld (er is een gratis laag beschikbaar voor deze service).
- Zorg ervoor dat Defender voor Cloud is ingeschakeld (er is een gratis laag beschikbaar voor deze service).
Zie het artikelondersteuning voor meer informatie.
Meer hulpprogramma's voor bewaking
Uw eindklanten voorbereiden
Microsoft verzendt meldingen naar Azure-abonnementen, die naar uw eindklanten gaan. Werk samen met uw eindklant om ervoor te zorgen dat ze op de juiste wijze kunnen handelen en worden gewaarschuwd voor verschillende beveiligingsproblemen in hun omgeving:
- Gebruikswaarschuwingen instellen met Azure Monitor of Azure Cost Management.
- Stel Service Health-waarschuwingen in om op de hoogte te zijn van andere meldingen van Microsoft over beveiliging en andere gerelateerde problemen.
- Werk samen met de tenant van uw organisatie Beheer (als dit niet wordt beheerd door de partner) om verhoogde beveiligingsmaatregelen voor uw tenant af te dwingen (zie de volgende sectie).
Aanvullende informatie voor het beveiligen van uw tenant
- Best practices voor operationele beveiliging voor uw Azure-assets controleren en implementeren.
- Meervoudige verificatie afdwingen om uw identiteitsbeveiligingspostuur te versterken.
- Beleid voor risico's en waarschuwingen implementeren voor gebruikers met een hoog risico en aanmeldingen: Wat is Microsoft Entra ID Protection?.
Als u vermoedt dat u niet-geautoriseerd gebruik van uw of het Azure-abonnement van uw klant vermoedt, neemt u contact op met Microsoft Azure-ondersteuning , zodat Microsoft kan helpen bij het versnellen van andere vragen of problemen.
Als u specifieke vragen hebt met betrekking tot partnercentrum, dient u een ondersteuningsaanvraag in het Partnercentrum in. Voor meer informatie: Krijg ondersteuning in partnercentrum.
Beveiligingsmeldingen controleren onder Activiteitenlogboeken
- Meld u aan bij Het Partnercentrum en selecteer het instellingenpictogram (tandwiel) in de rechterbovenhoek en selecteer vervolgens de werkruimte Accountinstellingen .
- Navigeer naar activiteitenlogboeken in het linkerdeelvenster.
- Stel de datums van van en naar in het bovenste filter.
- Selecteer in Filter by Operation Type de optie Azure Fraud Event Detected. U moet alle beveiligingswaarschuwingen kunnen zien die zijn gedetecteerd voor de geselecteerde periode.
Waarom ontvangen partners oudere Azure-beveiligingswaarschuwingen?
Microsoft verzendt sinds december 2021 waarschuwingen voor Azure Fraude. In het verleden was waarschuwingsmelding echter alleen gebaseerd op opt-in-voorkeur, waarbij partners zich moesten aanmelden om kennisgeving te ontvangen. We hebben dit gedrag gewijzigd. Partners moeten nu alle fraudewaarschuwingen (inclusief oude waarschuwingen) die geopend zijn, oplossen. Volg de aanbevolen procedures voor beveiliging van uw en uw klanten om de beveiligingspostuur van uw en uw klanten te beveiligen.
Microsoft verzendt het dagelijkse fraudeoverzicht (dit is het aantal partners, klanten en abonnementen dat wordt beïnvloed) als er een actieve, onopgeloste fraudewaarschuwing binnen de afgelopen 60 dagen is. Microsoft verzendt het dagelijkse fraudeoverzicht (dit is het aantal partners, klanten en abonnementen dat wordt beïnvloed) als er een actieve, onopgeloste fraudewaarschuwing binnen de afgelopen 60 dagen is.
Waarom zie ik niet alle waarschuwingen?
Meldingen over beveiligingswaarschuwingen zijn beperkt tot het detecteren van patronen van bepaalde afwijkende acties in Azure. Meldingen over beveiligingswaarschuwingen worden niet gedetecteerd en worden niet gegarandeerd alle afwijkende gedragingen gedetecteerd. Het is van cruciaal belang dat u andere bewakingsmethoden gebruikt om afwijkend gebruik te detecteren in de Azure-abonnementen van uw klant, zoals maandelijkse Azure-uitgavenbudgetten. Als u een waarschuwing ontvangt die significant is en een fout-negatief is, neemt u contact op met partnerondersteuning en geeft u de volgende informatie op:
- Tenant-id van partner
- Tenant-id van de klant
- Abonnements-id
- Resource-id
- Gevolgen voor begin- en einddatums
Volgende stappen
- Integreer met de API voor beveiligingswaarschuwingen en registreer een webhook.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor