Udostępnij za pośrednictwem


Wykrywanie alertów zabezpieczeń i reagowanie na nie

Odpowiednie role: Agent administracyjny

Dotyczy: Bezpośredni rachunek w Centrum partnerskim i dostawcy pośredni

Możesz zasubskrybować nowy alert zabezpieczeń dotyczący wykrywania związanych z nadużyciami nieautoryzowanych stron i przejęciami kont. Ten alert zabezpieczeń jest jednym z wielu sposobów, na które firma Microsoft udostępnia dane potrzebne do zabezpieczenia dzierżaw klienta. Możesz zasubskrybować nowy alert zabezpieczeń dotyczący wykrywania związanych z nadużyciami nieautoryzowanych stron i przejęciami kont. Ten alert zabezpieczeń jest jednym z wielu sposobów, na które firma Microsoft udostępnia dane potrzebne do zabezpieczenia dzierżaw klienta.

Ważne

Jako partner w programie Dostawca rozwiązań w chmurze (CSP) odpowiadasz za użycie platformy Azure klientów, dlatego ważne jest, aby pamiętać o wszelkich nietypowych użyciach w subskrypcjach platformy Azure klienta. Użyj alertów zabezpieczeń platformy Microsoft Azure, aby wykryć wzorce fałszywych działań i nieprawidłowego użycia w zasobach platformy Azure, aby zmniejszyć ryzyko transakcji online. Alerty zabezpieczeń platformy Microsoft Azure nie wykrywają wszystkich typów fałszywych działań ani nieuprawnionego użycia, dlatego kluczowe jest użycie dodatkowych metod monitorowania w celu wykrywania nietypowego użycia w subskrypcjach platformy Azure klienta. Aby dowiedzieć się więcej, zobacz Zarządzanie płatnościami, oszustwami lub nadużyciami oraz Zarządzanie kontami klientów.

Wymagane działanie: dzięki monitorowaniu i rozpoznawaniu sygnałów możesz podjąć natychmiastowe działania, aby określić, czy zachowanie jest uzasadnione, czy fałszywe. W razie potrzeby możesz wstrzymać objęte zasoby platformy Azure lub subskrypcje platformy Azure, aby rozwiązać problem.

Upewnij się, że preferowany adres e-mail dla agentów administratora partnera jest aktualny, aby można było otrzymywać powiadomienia wraz z kontaktami zabezpieczeń.

Subskrybowanie powiadomień o alertach zabezpieczeń

Możesz subskrybować różne powiadomienia partnerów na podstawie swojej roli.

Alerty zabezpieczeń powiadamiają o tym, kiedy subskrypcja platformy Azure klienta pokazuje możliwe nietypowe działania.

Uzyskiwanie alertów pocztą e-mail

  1. Zaloguj się do Centrum partnerskiego i wybierz pozycję Powiadomienia (dzwonek).
  2. Wybierz pozycję Moje preferencje.
  3. Ustaw preferowany adres e-mail, jeśli jeszcze tego nie zrobiono.
  4. Ustaw preferowany język powiadomienia, jeśli jeszcze tego nie zrobiono.
  5. Wybierz pozycję Edytuj obok pozycji Preferencje powiadomień e-mail.
  6. Zaznacz wszystkie pola odnoszące się do klientów w kolumnie Obszar roboczy . (Aby anulować subskrypcję, usuń zaznaczenie sekcji transakcyjnej w obszarze roboczym klienta).
  7. Wybierz pozycję Zapisz.

Wysyłamy alerty zabezpieczeń w przypadku wykrycia możliwych działań alertów zabezpieczeń lub nieprawidłowego użycia w niektórych subskrypcjach platformy Microsoft Azure klientów. Istnieją trzy typy wiadomości e-mail:

  • Codzienne podsumowanie nierozwiązanych alertów zabezpieczeń (liczba partnerów, klientów i subskrypcji, których dotyczy różne typy alertów)
  • Alerty zabezpieczeń niemal w czasie rzeczywistym. Aby uzyskać listę subskrypcji platformy Azure, które mają potencjalne problemy z zabezpieczeniami, zobacz Uzyskiwanie zdarzeń oszustwa.
  • Powiadomienia z poradami dotyczącymi zabezpieczeń niemal w czasie rzeczywistym. Te powiadomienia zapewniają wgląd w powiadomienia wysyłane do klienta po wystąpieniu alertu zabezpieczeń.

partnerzy Dostawca rozwiązań w chmurze (CSP) rozliczani bezpośrednio mogą zobaczyć więcej alertów dotyczących działań, na przykład: nietypowe użycie zasobów obliczeniowych, wyszukiwanie kryptograficzne, użycie usługi Azure Machine Learning i powiadomienia dotyczące porad dotyczących kondycji usługi. partnerzy Dostawca rozwiązań w chmurze (CSP) rozliczani bezpośrednio mogą zobaczyć więcej alertów dotyczących działań, na przykład: nietypowe użycie zasobów obliczeniowych, wyszukiwanie kryptograficzne, użycie usługi Azure Machine Learning i powiadomienia dotyczące porad dotyczących kondycji usługi.

Pobieranie alertów za pośrednictwem elementu webhook

Partnerzy mogą zarejestrować się w zdarzeniu elementu webhook: azure-fraud-event-detected aby otrzymywać alerty dotyczące zdarzeń zmiany zasobów. Aby dowiedzieć się więcej, zobacz Zdarzenia elementu webhook w Centrum partnerskim.

Wyświetlanie alertów i reagowanie na nie za pośrednictwem pulpitu nawigacyjnego Alerty zabezpieczeń

Partnerzy programu CSP mogą uzyskiwać dostęp do pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego w celu wykrywania alertów i reagowania na nie. Aby dowiedzieć się więcej, zobacz Reagowanie na zdarzenia zabezpieczeń za pomocą pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego. Partnerzy programu CSP mogą uzyskiwać dostęp do pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego w celu wykrywania alertów i reagowania na nie. Aby dowiedzieć się więcej, zobacz Reagowanie na zdarzenia zabezpieczeń za pomocą pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego.

Uzyskiwanie szczegółów alertu za pośrednictwem interfejsu API

Korzystanie z nowego interfejsu API alertów zabezpieczeń programu Microsoft Graph (beta)

Korzyści: od maja 2024 r. dostępna jest wersja zapoznawcza interfejsu API alertów zabezpieczeń programu Microsoft Graph. Ten interfejs API zapewnia ujednolicone środowisko bramy interfejsu API w innych usługi firmy Microsoft, takich jak Microsoft Entra ID, Teams i Outlook.

Wymagania dotyczące dołączania: partnerzy programu CSP, którzy dołączają, muszą korzystać z nowego interfejsu API beta alertów zabezpieczeń. Aby dowiedzieć się więcej, zobacz Używanie interfejsu API alertów zabezpieczeń partnera w programie Microsoft Graph.

Wersja interfejsu API alertów zabezpieczeń programu Microsoft Graph w wersji 1 zostanie wydana w lipcu 2024 r.

Przypadek użycia Interfejsy API
Dołączanie do interfejsu API programu Microsoft Graph w celu uzyskania tokenu dostępu Uzyskiwanie dostępu w imieniu użytkownika
Wyświetlanie listy alertów zabezpieczeń w celu uzyskania wglądu w alerty Wyświetlanie listy zabezpieczeńAlerts
Uzyskaj alerty zabezpieczeń, aby uzyskać wgląd w określony alert na podstawie wybranego parametru zapytania. Uzyskiwanie partneraZabezpieczeniaAlert
Uzyskiwanie tokenu w celu wywołania interfejsów API Centrum partnerskiego w celu uzyskania informacji referencyjnych Włączanie bezpiecznego modelu aplikacji
Uzyskiwanie informacji o profilu organizacji Uzyskiwanie profilu organizacji
Uzyskiwanie informacji o kliencie według identyfikatora Pobieranie klienta według identyfikatora
Uzyskiwanie informacji o odsprzedawcach pośrednich klienta według identyfikatora Uzyskiwanie odsprzedawców pośrednich klienta
Uzyskiwanie informacji o subskrypcji klienta według identyfikatora Pobieranie subskrypcji według identyfikatora
Aktualizowanie stanu alertu i rozwiązywanie problemów w przypadku ograniczenia ryzyka Aktualizowanie partneraZabezpieczeniaAlert

Obsługa istniejącego interfejsu API FraudEvents

Ważne

Starszy interfejs API zdarzeń oszustwa zostanie wycofany w CY Q4 2024. Aby uzyskać więcej informacji, zapoznaj się z comiesięcznymi ogłoszeniami zabezpieczeń Centrum partnerskiego. Partnerzy programu CSP powinni przeprowadzić migrację do nowego interfejsu API alertów zabezpieczeń programu Microsoft Graph, który jest teraz dostępny w wersji zapoznawczej.

W okresie przejściowym partnerzy CSP mogą nadal korzystać z interfejsu API FraudEvents, aby uzyskać dodatkowe sygnały wykrywania przy użyciu modelu X-NewEventsModel. Dzięki temu modelowi można uzyskać nowe typy alertów, które są dodawane do systemu, na przykład nietypowe użycie zasobów obliczeniowych, wyszukiwanie kryptograficzne, użycie usługi Azure Machine Learning i powiadomienia porady dotyczące kondycji usługi. Nowe typy alertów można dodawać z ograniczonym powiadomieniem, ponieważ zagrożenia również ewoluują. Jeśli używasz specjalnej obsługi za pośrednictwem interfejsu API dla różnych typów alertów, monitoruj następujące interfejsy API pod kątem zmian:

Co zrobić po otrzymaniu powiadomienia o alertach zabezpieczeń

Poniższa lista kontrolna zawiera sugerowane następne kroki, które należy wykonać po otrzymaniu powiadomienia o zabezpieczeniach.

  • Upewnij się, że powiadomienie e-mail jest prawidłowe. Po wysłaniu alertów zabezpieczeń są one wysyłane z platformy Microsoft Azure z adresem e-mail: no-reply@microsoft.com. Partnerzy otrzymują tylko powiadomienie od firmy Microsoft.
  • Po powiadomieniu możesz również zobaczyć alert e-mail w portalu Centrum akcji. Wybierz ikonę dzwonka, aby wyświetlić alerty Centrum akcji.
  • Przejrzyj subskrypcje platformy Azure. Ustal, czy działanie w subskrypcji jest uzasadnione i oczekiwane, czy działanie może być spowodowane nieautoryzowanym nadużyciem lub oszustwem.
  • Poinformuj nas o znalezionych elementach za pośrednictwem pulpitu nawigacyjnego Alerty zabezpieczeń lub z interfejsu API. Aby dowiedzieć się więcej na temat korzystania z interfejsu API, zobacz Aktualizowanie stanu zdarzenia oszustwa. Użyj następujących kategorii, aby opisać znalezione elementy:
    • Uzasadnione — działanie jest oczekiwane lub sygnał fałszywie dodatni.
    • Oszustwo — działanie jest spowodowane nieautoryzowanym nadużyciem lub oszustwem.
    • Ignoruj — działanie jest starszym alertem i powinno być ignorowane. Aby dowiedzieć się więcej, zobacz Dlaczego partnerzy otrzymują starsze alerty zabezpieczeń?.

Jakie inne kroki można podjąć, aby zmniejszyć ryzyko naruszenia zabezpieczeń?

Co należy zrobić, jeśli naruszono bezpieczeństwo subskrypcji platformy Azure?

Podejmij natychmiastowe działania w celu ochrony konta i danych. Poniżej przedstawiono kilka sugestii i wskazówek, aby szybko reagować i zawierać potencjalne zdarzenie, aby zmniejszyć jego wpływ i ogólne ryzyko biznesowe.

Korygowanie tożsamości z naruszonymi zabezpieczeniami w środowisku chmury ma kluczowe znaczenie dla zapewnienia ogólnego bezpieczeństwa systemów opartych na chmurze. Naruszone tożsamości mogą zapewnić osobom atakującym dostęp do poufnych danych i zasobów, co sprawia, że niezbędne jest podjęcie natychmiastowych działań w celu ochrony konta i danych.

Po eksmitowanych złośliwych podmiotach wyczyść naruszone zasoby. Uważnie przyjrzyj się objętej subskrypcji, aby upewnić się, że nie ma dalszych podejrzanych działań. Dobrym pomysłem jest również regularne przeglądanie dzienników i dzienników inspekcji w celu zapewnienia bezpieczeństwa twojego konta.

Zapobieganie naruszeniom zabezpieczeń konta jest łatwiejsze niż odzyskiwanie po nim. Dlatego ważne jest, aby zwiększyć stan zabezpieczeń.

  • Przejrzyj limit przydziału dla subskrypcji platformy Azure klientów i prześlij żądanie zmniejszenia nieużywanego limitu przydziału. Aby uzyskać więcej informacji, zobacz Zmniejszenie limitu przydziału.
  • Przejrzyj i zaimplementuj najlepsze rozwiązania dotyczące zabezpieczeń Dostawca rozwiązań w chmurze.
  • Współpracuj z klientami, aby dowiedzieć się i wdrożyć najlepsze rozwiązania w zakresie zabezpieczeń klientów.
  • Upewnij się, że Defender dla Chmury jest włączona (dostępna jest warstwa bezpłatna dla tej usługi).
  • Upewnij się, że Defender dla Chmury jest włączona (dostępna jest warstwa bezpłatna dla tej usługi).

Aby uzyskać więcej informacji, zobacz artykuł pomocy technicznej.

Więcej narzędzi do monitorowania

Jak przygotować klientów końcowych

Firma Microsoft wysyła powiadomienia do subskrypcji platformy Azure, które trafiają do klientów końcowych. Skontaktuj się z klientem końcowym, aby upewnić się, że mogą działać odpowiednio i są powiadamiani o różnych problemach z zabezpieczeniami w swoim środowisku:

  • Konfigurowanie alertów użycia za pomocą usługi Azure Monitor lub usługi Azure Cost Management.
  • Skonfiguruj alerty usługi Service Health, aby otrzymywać informacje o innych powiadomieniach firmy Microsoft dotyczących zabezpieczeń i innych powiązanych problemów.
  • Skontaktuj się z administratorem dzierżawy organizacji (jeśli nie jest to zarządzane przez partnera), aby wymusić zwiększone środki zabezpieczeń w dzierżawie (zobacz następującą sekcję).

Dodatkowe informacje dotyczące ochrony dzierżawy

Jeśli podejrzewasz, że nieautoryzowane użycie subskrypcji platformy Azure lub klienta, skontaktuj się z pomocą techniczną platformy Microsoft Azure, aby firma Microsoft mogła przyspieszyć wszelkie inne pytania lub wątpliwości.

Jeśli masz konkretne pytania dotyczące Centrum partnerskiego, prześlij wniosek o pomoc techniczną w Centrum partnerskim. Aby uzyskać więcej informacji: Uzyskiwanie pomocy technicznej w Centrum partnerskim.

Sprawdzanie powiadomień zabezpieczeń w obszarze Dzienniki aktywności

  1. Zaloguj się do Centrum partnerskiego i wybierz ikonę ustawień (koła zębatego) w prawym górnym rogu, a następnie wybierz obszar roboczy Ustawienia konta.
  2. Przejdź do obszaru Dzienniki aktywności na panelu po lewej stronie.
  3. Ustaw daty Od i Do w górnym filtrze.
  4. W obszarze Filtruj według typu operacji wybierz pozycję Wykryto zdarzenie oszustwa platformy Azure. W wybranym okresie powinny być widoczne wszystkie zdarzenia alertów zabezpieczeń.

Dlaczego partnerzy otrzymują starsze alerty zabezpieczeń platformy Azure?

Firma Microsoft wysyła alerty dotyczące oszustw platformy Azure od grudnia 2021 r. Jednak w przeszłości powiadomienie o alertach było oparte tylko na preferencjach zgody, gdzie partnerzy musieli wyrazić zgodę na otrzymywanie powiadomień. Zmieniliśmy to zachowanie. Partnerzy powinni teraz rozwiązać wszystkie otwarte alerty dotyczące oszustw (w tym stare alerty). Aby zabezpieczyć stan zabezpieczeń i klientów, postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń Dostawca rozwiązań w chmurze.

Firma Microsoft wysyła codzienne podsumowanie oszustw (jest to liczba partnerów, klientów i subskrypcji), jeśli w ciągu ostatnich 60 dni występuje aktywny nierozwiązany alert o oszustwie. Firma Microsoft wysyła codzienne podsumowanie oszustw (jest to liczba partnerów, klientów i subskrypcji), jeśli w ciągu ostatnich 60 dni występuje aktywny nierozwiązany alert o oszustwie.

Dlaczego nie widzę wszystkich alertów?

Powiadomienia o alertach zabezpieczeń są ograniczone do wykrywania wzorców niektórych nietypowych akcji na platformie Azure. Powiadomienia o alertach zabezpieczeń nie wykrywają i nie mają gwarancji wykrywania wszystkich nietypowych zachowań. Ważne jest, aby użyć innych metod monitorowania, aby ułatwić wykrywanie nietypowego użycia w subskrypcjach platformy Azure klienta, takich jak miesięczne budżety wydatków na platformę Azure. Jeśli otrzymasz alert, który jest znaczący i jest fałszywie ujemny, skontaktuj się z pomocą techniczną dla partnerów i podaj następujące informacje:

  • Identyfikator dzierżawy partnera
  • Identyfikator dzierżawy klienta
  • Identyfikator subskrypcji
  • Identyfikator zasobu
  • Daty rozpoczęcia wpływu i zakończenia wpływu