Reageren op beveiligingsevenementen met het dashboard Beveiligingswaarschuwingen

  • Artikel

Juiste rollen: Beheer agent

Het dashboard Beveiligingswaarschuwingen van partnercentrum helpt partners snel te reageren op beveiliging, fraude en andere gebeurtenissen die zich voordoen in hun Partnercentrum of de tenant van hun klant.

API

Voor partners die meerdere partnercentrum-Azure AD tenants hebben, kunt u de volgende API's gebruiken om waarschuwingen op te halen en bij te werken in plaats van het dashboard Waarschuwingen te gebruiken:

Vereisten

Als u het dashboard Beveiligingswaarschuwingen van partnercentrum wilt gebruiken, moet aan uw gebruikersaccount de rol Beheer agent zijn toegewezen.

Het belang van tijdige reactie op waarschuwingen

Wanneer een waarschuwing wordt gemaakt in uw dashboard, is het essentieel dat u het incident dat de waarschuwing heeft veroorzaakt, zo snel mogelijk sorteert en beperkt. Als leidraad raden we u aan om binnen een uur te reageren op waarschuwingen. Voor waarschuwingen van het type Fraude geldt dat hoe langer het duurt om te reageren op het incident dat de waarschuwing heeft veroorzaakt, hoe meer financiƫle gevolgen er kunnen zijn.

Ga als volgende te werk om toegang te krijgen tot het dashboard Beveiligingswaarschuwingen van partnercentrum:

  1. Meld u aan bij partnercentrum met een gebruiker met de rol Beheer agent.
  2. Selecteer de werkruimte Insights .
  3. Selecteer in het navigatiemenu links onder Beveiligingde optie Waarschuwingen.

Waarschuwingen weergeven

Op de pagina Waarschuwingen ziet u het volgende:

  • Nieuwe waarschuwingen deze week : het aantal nieuwe waarschuwingen voor de afgelopen zeven dagen.
  • Opgelost : het aantal waarschuwingen dat wordt opgelost met een opgegeven reden (bijvoorbeeld Legitiem of Fraude).
  • Actieve & Wordt uitgevoerd : het aantal onopgeloste waarschuwingen dat aandacht nodig heeft.

Schermopname van het scherm Waarschuwingen van partnercentrum, met inbegrip van de gemiddelde reactietijd, nieuwe waarschuwingen deze week, opgelost en Actief en Wordt uitgevoerd.

Het onderste gedeelte van de waarschuwingspagina bevat waarschuwingen die van invloed zijn op de Partner Center-tenant waarbij u bent aangemeld.

Schermopname van de pagina Waarschuwingen en acties die u kunt uitvoeren, zoals Abonnement annuleren en Exporteren.

  • Waarschuwingsnaam : deze naam geeft informatie op hoog niveau weer over wat er is gedetecteerd.
  • Abonnements-id : deze id wordt weergegeven wanneer een waarschuwing wordt gedetecteerd in een specifiek Azure-abonnement.
  • Waarschuwings-id : de unieke id voor de waarschuwing.
  • Waarschuwingsstatus : de status van de waarschuwing (Actief of Opgelost).
  • Eerste waargenomen : de eerste keer dat de waarschuwing werd weergegeven.
  • Laatst waargenomen : de meest recente keer dat de waarschuwing werd weergegeven.
  • Waarschuwingstype : het type activiteit dat is gedetecteerd en de waarschuwing heeft veroorzaakt. Er zijn twee waarschuwingstypen:
    • Azure-meldingen : deze waarschuwing geeft aan dat er een bericht is verzonden naar de klant van het betrokken Azure-abonnement en wordt weergegeven als een Service Health-melding . Een kopie van dit bericht wordt weergegeven in de waarschuwingsdetails.
    • Azure-gebruik : deze waarschuwing geeft een ongebruikelijke toename van activiteit in het Azure-abonnement aan of een afwijkende activiteit die plaatsvindt in het abonnement, bijvoorbeeld cryptovalutaanalyse.
  • Ernst : geeft het urgentieniveau aan dat moet worden genomen bij het reageren op de waarschuwing.

Met de optie Filter kunt u wijzigen welke waarschuwingen worden weergegeven op de pagina Waarschuwing.

Met Zoeken kunt u in alle waarschuwingen zoeken naar de informatie die u in het zoekveld invoert en wordt de pagina Waarschuwing geopend. De volgende velden worden doorzocht:

  • Abonnements-id
  • Waarschuwings-id
  • Klantnaam

Acties op de pagina Waarschuwingsgegevens

Voorbeeld van de pagina Waarschuwingsgegevens :

Als u meer informatie over een waarschuwing wilt zien, selecteert u de naam van de waarschuwing. In de volgende voorbeeldwaarschuwing ziet u bijvoorbeeld gedrag met betrekking tot cryptovalutamining die plaatsvindt in een Azure-abonnement.

Schermopname met details van de waarschuwing.

Boven aan de pagina Waarschuwingsdetails worden de klantgegevens en reseller (indien van toepassing) weergegeven.

De beschrijving van de waarschuwing biedt een overzicht van de reden waarom de waarschuwing is opgetreden, samen met de te onderzoeken stappen.

De sectie Betrokken resources bevat de volgende informatie:

  • Resourcegegevens : details over de resources die betrokken waren bij de detectie die de waarschuwing heeft veroorzaakt. In dit voorbeeld bevindt zich een virtuele machine met de naam 'badvmtest' in de resourcegroep 'testserver'. De eerste verbindingstijd en laatste verbindingstijd geven aan wanneer we voor het eerst hebben gedetecteerd dat deze resource contact maakt met een bekende miningpool en de meest recente keer dat deze is waargenomen.

  • Aanvullende informatie : als er details beschikbaar zijn over het gedrag van de resource, worden deze hier weergegeven. In dit voorbeeld communiceerde de virtuele machine 'badvmtest' met het IP-adres van een bekende miningpool. In de sectie Resourcegegevens ziet u dat deze vier keer is verbonden met het IP-adres tussen de eerste verbindingstijd en de laatste verbindingstijd.

  • Actiebalk : wanneer u uw onderzoek naar de waarschuwing hebt voltooid, selecteert u een actie om partnercentrum te laten weten wat u hebt gedetecteerd. Als u een actie selecteert, wordt de waarschuwing Opgelost gemarkeerd. De actie die u selecteert, geeft de reden aan waarom u de waarschuwing wilt oplossen. De opgegeven opties zijn:

    • Markeren als legitiem : u hebt de resources onderzocht en geen bewijs gevonden van wat de waarschuwing aangaf, of bij het controleren van de klant geven ze aan dat het gedrag verwacht is.
    • Markeren als fraude : u hebt de resources onderzocht en vastgesteld dat ze het gedrag uitvoeren dat wordt aangegeven door de waarschuwing.

  • Resources : gebruik de koppelingen in deze sectie van de waarschuwing voor meer informatie over waarschuwingen en wat u moet doen wanneer u een waarschuwing ontvangt.

    Schermopname van een voorbeeld van een waarschuwing, met opties Markeren als legitiem of Markeren als fraude.

  • Resources : meer informatie over waarschuwingen en wat u moet doen wanneer u een waarschuwing ontvangt.

Selecteer een waarschuwing om de pagina Waarschuwingsdetails te openen.

Acties op de pagina Waarschuwingsgegevens

Voorbeeld van de pagina Waarschuwingsgegevens :

Schermopname van de onderkant van een beveiligingswaarschuwing, met opties voor Abonnement annuleren, abonnement beheren of Terug naar waarschuwingen.

Op de voorbeeldpagina Waarschuwingsdetails ziet u drie acties die u kunt uitvoeren.

  • Abonnement opzeggen: u moet de rollen Globale beheerder en Beheer Agent hebben om deze actie te kunnen gebruiken. Als uit uw onderzoek naar de waarschuwing blijkt dat het Azure-abonnement wordt ingehaald door een onbevoegde partij, kunt u Abonnement annuleren selecteren om de toewijzing van alle resources in het Azure-abonnement ongedaan te maken en alle gegevens in het abonnement na de retentieperiode te markeren voor verwijdering. Voordat u deze actie onderneemt, raden we u aan met uw klant te communiceren over de waarschuwing en indien mogelijk toestemming te krijgen om het abonnement te annuleren. Wanneer u deze knop selecteert, ziet u de volgende bevestigingspagina om ervoor te zorgen dat u de impact van deze actie begrijpt. Selecteer Doorgaan met annuleren om het Azure-abonnement te annuleren. Wanneer u Doorgaan met opzeggen selecteert, wordt het abonnement geannuleerd en worden alle waarschuwingen voor dat abonnement gemarkeerd als Opgelost met de reden Fraude.

    Schermopname van het dialoogvenster Abonnement annuleren, met opties: Terug en Doorgaan met annuleren.

    Zie Een Azure-abonnement annuleren voor meer informatie.

  • Abonnement beheren: met de actie Abonnement beheren gaat u naar de Azure-beheerportal met behulp van Beheer namens. Op basis van het toegangsniveau dat de klant aan u heeft verleend, kunt u mogelijk de resources die worden aangegeven in de waarschuwingsdetails verder onderzoeken. Zie Abonnementen en resources beheren onder het Azure-plan voor meer informatie.

  • Terug naar waarschuwingen : hiermee gaat u terug naar de hoofdpagina van het waarschuwingsdashboard met de lijst met waarschuwingen.

Acties op de pagina Waarschuwing

Boven de lijst met waarschuwingen op de pagina Waarschuwing staan twee acties die u kunt uitvoeren.

Schermopname van de pagina Waarschuwingen en acties die u kunt uitvoeren, zoals Abonnement annuleren en Exporteren.

  • Abonnement opzeggen: u moet de rollen Globale beheerder en Beheer Agent hebben om deze actie te kunnen gebruiken. Als uit uw onderzoek naar de waarschuwing blijkt dat het Azure-abonnement wordt ingehaald door een onbevoegde partij, kunt u Abonnement annuleren selecteren om de toewijzing van alle resources in het Azure-abonnement ongedaan te maken en alle gegevens in het abonnement na de retentieperiode te markeren voor verwijdering. Voordat u deze actie onderneemt, raden we u aan met uw klant te communiceren over de waarschuwing en indien mogelijk toestemming te krijgen om het abonnement te annuleren. Nadat u deze knop hebt geselecteerd, ziet u de volgende bevestigingspagina om ervoor te zorgen dat u de impact van deze actie begrijpt. Selecteer Doorgaan met annuleren om het Azure-abonnement te annuleren.

    Schermopname van de pagina Abonnement annuleren, met opties voor Teruggaan of Doorgaan met annuleren.

  • Exporteren : als u alle gedetailleerde informatie over de waarschuwingen wilt exporteren, kunt u de actie Exporteren gebruiken om een CSV-bestand (door komma's gescheiden waarden) te downloaden met de waarschuwingsgegevens. Opmerking: Exporteren produceert een CSV-bestand met alleen de waarschuwingen die momenteel worden weergegeven. Pas de optie Filter aan om de waarschuwing weer te geven die u wilt exporteren.

Volgende stappen

Fraudedetectie en -melding in Azure