Wykrywanie alertów zabezpieczeń i reagowanie na nie

Odpowiednie role: Agent administracyjny

Dotyczy: Bezpośredni rachunek w Centrum partnerskim i dostawcy pośredni

Możesz zasubskrybować nowy alert zabezpieczeń dotyczący wykrywania związanych z nadużyciami nieautoryzowanych stron i przejęciami kont. Ten alert zabezpieczeń jest jednym z wielu sposobów, na które firma Microsoft udostępnia dane potrzebne do zabezpieczenia dzierżaw klienta. Możesz zasubskrybować nowy alert zabezpieczeń dotyczący wykrywania związanych z nadużyciami nieautoryzowanych stron i przejęciami kont. Ten alert zabezpieczeń jest jednym z wielu sposobów, na które firma Microsoft udostępnia dane potrzebne do zabezpieczenia dzierżaw klienta.

Ważne

Jako partner w programie Dostawca rozwiązań w chmurze (CSP) odpowiadasz za użycie platformy Azure klientów, dlatego ważne jest, aby pamiętać o wszelkich nietypowych użyciach w subskrypcjach platformy Azure klienta. Użyj alertów zabezpieczeń platformy Microsoft Azure, aby wykryć wzorce fałszywych działań i nieprawidłowego użycia w zasobach platformy Azure, aby zmniejszyć ryzyko transakcji online. Alerty zabezpieczeń platformy Microsoft Azure nie wykrywają wszystkich typów fałszywych działań ani nieuprawnionego użycia, dlatego kluczowe jest użycie dodatkowych metod monitorowania w celu wykrywania nietypowego użycia w subskrypcjach platformy Azure klienta. Aby dowiedzieć się więcej, zobacz Zarządzanie płatnościami, oszustwami lub nadużyciami oraz Zarządzanie kontami klientów.

Wymagane działanie: dzięki monitorowaniu i rozpoznawaniu sygnałów możesz podjąć natychmiastowe działania, aby określić, czy zachowanie jest uzasadnione, czy fałszywe. W razie potrzeby możesz wstrzymać objęte zasoby platformy Azure lub subskrypcje platformy Azure, aby rozwiązać problem.

Upewnij się, że preferowany adres e-mail dla agentów administratora partnera jest aktualny, aby można było otrzymywać powiadomienia wraz z kontaktami zabezpieczeń.

Subskrybowanie powiadomień o alertach zabezpieczeń

Możesz subskrybować różne powiadomienia partnerów na podstawie swojej roli.

Alerty zabezpieczeń powiadamiają o tym, kiedy subskrypcja platformy Azure klienta pokazuje możliwe nietypowe działania.

Uzyskiwanie alertów pocztą e-mail

1. Zaloguj się do Centrum partnerskiego i wybierz pozycję Powiadomienia (dzwonek).
2. Wybierz pozycję Moje preferencje.
3. Ustaw preferowany adres e-mail, jeśli jeszcze tego nie zrobiono.
4. Ustaw preferowany język powiadomienia, jeśli jeszcze tego nie zrobiono.
5. Wybierz pozycję Edytuj obok pozycji Preferencje powiadomień e-mail.
6. Zaznacz wszystkie pola odnoszące się do klientów w kolumnie Obszar roboczy . (Aby anulować subskrypcję, usuń zaznaczenie sekcji transakcyjnej w obszarze roboczym klienta).
7. Wybierz pozycję Zapisz.

Wysyłamy alerty zabezpieczeń w przypadku wykrycia możliwych działań alertów zabezpieczeń lub nieprawidłowego użycia w niektórych subskrypcjach platformy Microsoft Azure klientów. Istnieją trzy typy wiadomości e-mail:

• Codzienne podsumowanie nierozwiązanych alertów zabezpieczeń (liczba partnerów, klientów i subskrypcji, których dotyczy różne typy alertów)
• Alerty zabezpieczeń niemal w czasie rzeczywistym. Aby uzyskać listę subskrypcji platformy Azure, które mają potencjalne problemy z zabezpieczeniami, zobacz Uzyskiwanie zdarzeń oszustwa.
• Powiadomienia z poradami dotyczącymi zabezpieczeń niemal w czasie rzeczywistym. Te powiadomienia zapewniają wgląd w powiadomienia wysyłane do klienta po wystąpieniu alertu zabezpieczeń.

partnerzy Dostawca rozwiązań w chmurze (CSP) rozliczani bezpośrednio mogą zobaczyć więcej alertów dotyczących działań, na przykład: nietypowe użycie zasobów obliczeniowych, wyszukiwanie kryptograficzne, użycie usługi Azure Machine Learning i powiadomienia dotyczące porad dotyczących kondycji usługi. partnerzy Dostawca rozwiązań w chmurze (CSP) rozliczani bezpośrednio mogą zobaczyć więcej alertów dotyczących działań, na przykład: nietypowe użycie zasobów obliczeniowych, wyszukiwanie kryptograficzne, użycie usługi Azure Machine Learning i powiadomienia dotyczące porad dotyczących kondycji usługi.

Pobieranie alertów za pośrednictwem elementu webhook

Partnerzy mogą zarejestrować się w zdarzeniu elementu webhook: azure-fraud-event-detected aby otrzymywać alerty dotyczące zdarzeń zmiany zasobów. Aby dowiedzieć się więcej, zobacz Zdarzenia elementu webhook w Centrum partnerskim.

Wyświetlanie alertów i reagowanie na nie za pośrednictwem pulpitu nawigacyjnego Alerty zabezpieczeń

Partnerzy programu CSP mogą uzyskiwać dostęp do pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego w celu wykrywania alertów i reagowania na nie. Aby dowiedzieć się więcej, zobacz Reagowanie na zdarzenia zabezpieczeń za pomocą pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego. Partnerzy programu CSP mogą uzyskiwać dostęp do pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego w celu wykrywania alertów i reagowania na nie. Aby dowiedzieć się więcej, zobacz Reagowanie na zdarzenia zabezpieczeń za pomocą pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego.

Uzyskiwanie szczegółów alertu za pośrednictwem interfejsu API

Korzystanie z nowego interfejsu API alertów zabezpieczeń programu Microsoft Graph (beta)

Korzyści: od maja 2024 r. dostępna jest wersja zapoznawcza interfejsu API alertów zabezpieczeń programu Microsoft Graph. Ten interfejs API zapewnia ujednolicone środowisko bramy interfejsu API w innych usługi firmy Microsoft, takich jak Microsoft Entra ID, Teams i Outlook.

Wymagania dotyczące dołączania: partnerzy programu CSP, którzy dołączają, muszą korzystać z nowego interfejsu API beta alertów zabezpieczeń. Aby dowiedzieć się więcej, zobacz Używanie interfejsu API alertów zabezpieczeń partnera w programie Microsoft Graph.

Wersja interfejsu API alertów zabezpieczeń programu Microsoft Graph w wersji 1 zostanie wydana w lipcu 2024 r.

Przypadek użycia	Interfejsy API
Dołączanie do interfejsu API programu Microsoft Graph w celu uzyskania tokenu dostępu	Uzyskiwanie dostępu w imieniu użytkownika
Wyświetlanie listy alertów zabezpieczeń w celu uzyskania wglądu w alerty	Wyświetlanie listy zabezpieczeńAlerts
Uzyskaj alerty zabezpieczeń, aby uzyskać wgląd w określony alert na podstawie wybranego parametru zapytania.	Uzyskiwanie partneraZabezpieczeniaAlert
Uzyskiwanie tokenu w celu wywołania interfejsów API Centrum partnerskiego w celu uzyskania informacji referencyjnych	Włączanie bezpiecznego modelu aplikacji
Uzyskiwanie informacji o profilu organizacji	Uzyskiwanie profilu organizacji
Uzyskiwanie informacji o kliencie według identyfikatora	Pobieranie klienta według identyfikatora
Uzyskiwanie informacji o odsprzedawcach pośrednich klienta według identyfikatora	Uzyskiwanie odsprzedawców pośrednich klienta
Uzyskiwanie informacji o subskrypcji klienta według identyfikatora	Pobieranie subskrypcji według identyfikatora
Aktualizowanie stanu alertu i rozwiązywanie problemów w przypadku ograniczenia ryzyka	Aktualizowanie partneraZabezpieczeniaAlert

Obsługa istniejącego interfejsu API FraudEvents

Ważne

Starszy interfejs API zdarzeń oszustwa zostanie wycofany w CY Q4 2024. Aby uzyskać więcej informacji, zapoznaj się z comiesięcznymi ogłoszeniami zabezpieczeń Centrum partnerskiego. Partnerzy programu CSP powinni przeprowadzić migrację do nowego interfejsu API alertów zabezpieczeń programu Microsoft Graph, który jest teraz dostępny w wersji zapoznawczej.

W okresie przejściowym partnerzy CSP mogą nadal korzystać z interfejsu API FraudEvents, aby uzyskać dodatkowe sygnały wykrywania przy użyciu modelu X-NewEventsModel. Dzięki temu modelowi można uzyskać nowe typy alertów, które są dodawane do systemu, na przykład nietypowe użycie zasobów obliczeniowych, wyszukiwanie kryptograficzne, użycie usługi Azure Machine Learning i powiadomienia porady dotyczące kondycji usługi. Nowe typy alertów można dodawać z ograniczonym powiadomieniem, ponieważ zagrożenia również ewoluują. Jeśli używasz specjalnej obsługi za pośrednictwem interfejsu API dla różnych typów alertów, monitoruj następujące interfejsy API pod kątem zmian:

• Uzyskiwanie zdarzeń oszustwa
• Aktualizowanie stanu zdarzenia oszustwa

Co zrobić po otrzymaniu powiadomienia o alertach zabezpieczeń

Poniższa lista kontrolna zawiera sugerowane następne kroki, które należy wykonać po otrzymaniu powiadomienia o zabezpieczeniach.

• Upewnij się, że powiadomienie e-mail jest prawidłowe. Po wysłaniu alertów zabezpieczeń są one wysyłane z platformy Microsoft Azure z adresem e-mail: no-reply@microsoft.com. Partnerzy otrzymują tylko powiadomienie od firmy Microsoft.
• Po powiadomieniu możesz również zobaczyć alert e-mail w portalu Centrum akcji. Wybierz ikonę dzwonka, aby wyświetlić alerty Centrum akcji.
• Przejrzyj subskrypcje platformy Azure. Ustal, czy działanie w subskrypcji jest uzasadnione i oczekiwane, czy działanie może być spowodowane nieautoryzowanym nadużyciem lub oszustwem.
• Poinformuj nas o znalezionych elementach za pośrednictwem pulpitu nawigacyjnego Alerty zabezpieczeń lub z interfejsu API. Aby dowiedzieć się więcej na temat korzystania z interfejsu API, zobacz Aktualizowanie stanu zdarzenia oszustwa. Użyj następujących kategorii, aby opisać znalezione elementy:
  • Uzasadnione — działanie jest oczekiwane lub sygnał fałszywie dodatni.
  • Oszustwo — działanie jest spowodowane nieautoryzowanym nadużyciem lub oszustwem.
  • Ignoruj — działanie jest starszym alertem i powinno być ignorowane. Aby dowiedzieć się więcej, zobacz Dlaczego partnerzy otrzymują starsze alerty zabezpieczeń?.

Jakie inne kroki można podjąć, aby zmniejszyć ryzyko naruszenia zabezpieczeń?

• Włącz uwierzytelnianie wieloskładnikowe (MFA) w dzierżawach klientów i partnerów. Konta, które mają uprawnienia do zarządzania subskrypcjami platformy Azure klientów, muszą być zgodne z usługą MFA. Aby dowiedzieć się więcej, zobacz najlepsze rozwiązania dotyczące zabezpieczeń Dostawca rozwiązań w chmurze i najlepsze rozwiązania dotyczące zabezpieczeń klientów.
• Skonfiguruj alerty do monitorowania uprawnień dostępu na podstawie ról (RBAC) platformy Azure w subskrypcjach platformy Azure klientów. Aby dowiedzieć się więcej, zobacz Plan platformy Azure — zarządzanie subskrypcjami i zasobami.
  • Przeprowadź inspekcję zmian uprawnień w subskrypcjach platformy Azure klientów. Przejrzyj dziennik aktywności usługi Azure Monitor pod kątem działań związanych z subskrypcją platformy Azure.
• Przejrzyj anomalie wydatków w stosunku do budżetu wydatków w usłudze Azure Cost Management.
• Poinformuj klientów i współpracuj z klientami, aby zmniejszyć nieużywany limit przydziału, aby zapobiec uszkodzeniom dozwolonym w ramach subskrypcji platformy Azure: Omówienie limitów przydziałów platformy Azure.
  • Przesyłanie żądania do zarządzania limitem przydziału platformy Azure: Jak utworzyć żądanie pomoc techniczna platformy Azure — pomoc techniczna platformy Azure ability
  • Zapoznaj się z bieżącym użyciem limitu przydziału: Dokumentacja interfejsu API REST limitu przydziału platformy Azure
  • Jeśli używasz krytycznych obciążeń wymagających dużej pojemności, rozważ rezerwację pojemności na żądanie lub wystąpienia zarezerwowane maszyn wirtualnych platformy Azure

Co należy zrobić, jeśli naruszono bezpieczeństwo subskrypcji platformy Azure?

Podejmij natychmiastowe działania w celu ochrony konta i danych. Poniżej przedstawiono kilka sugestii i wskazówek, aby szybko reagować i zawierać potencjalne zdarzenie, aby zmniejszyć jego wpływ i ogólne ryzyko biznesowe.

Korygowanie tożsamości z naruszonymi zabezpieczeniami w środowisku chmury ma kluczowe znaczenie dla zapewnienia ogólnego bezpieczeństwa systemów opartych na chmurze. Naruszone tożsamości mogą zapewnić osobom atakującym dostęp do poufnych danych i zasobów, co sprawia, że niezbędne jest podjęcie natychmiastowych działań w celu ochrony konta i danych.

• Natychmiast zmień poświadczenia dla:

  • Administratorzy dzierżawy i dostęp RBAC w ramach subskrypcji platformy Azure Co to jest kontrola dostępu oparta na rolach (RBAC) platformy Azure?
  • Postępuj zgodnie ze wskazówkami dotyczącymi haseł. Zalecenia dotyczące zasad haseł
  • Upewnij się, że wszyscy administratorzy dzierżawy i właściciele kontroli dostępu opartej na rolach mają zarejestrowane i wymuszone uwierzytelnianie wieloskładnikowe

• Przejrzyj i zweryfikuj wszystkie wiadomości e-mail odzyskiwania hasła użytkownika administratora i numery telefonów w ramach identyfikatora Entra firmy Microsoft. Zaktualizuj je w razie potrzeby. Zalecenia dotyczące zasad haseł

• Sprawdź, którzy użytkownicy, dzierżawy i subskrypcje są narażeni w witrynie Azure Portal.

  • Zbadaj ryzyko, przechodząc do witryny Microsoft Entra ID, aby przejrzeć raporty o ryzyku usługi Identity Protection. Aby dowiedzieć się więcej, zobacz Badanie Ochrona tożsamości Microsoft Entra ryzyka
  • Wymagania licencyjne dotyczące usługi Identity Protection
  • Korygowanie zagrożeń i odblokowywanie użytkowników
  • Środowiska użytkownika z Ochrona tożsamości Microsoft Entra

• Przejrzyj dzienniki logowania firmy Microsoft w dzierżawie klienta, aby zobaczyć nietypowe wzorce logowania w czasie wyzwalania alertu zabezpieczeń.

Po eksmitowanych złośliwych podmiotach wyczyść naruszone zasoby. Uważnie przyjrzyj się objętej subskrypcji, aby upewnić się, że nie ma dalszych podejrzanych działań. Dobrym pomysłem jest również regularne przeglądanie dzienników i dzienników inspekcji w celu zapewnienia bezpieczeństwa twojego konta.

• Sprawdź wszelkie nieautoryzowane działania w dzienniku aktywności platformy Azure, na przykład zmiany w rozliczeniach, użyciu dla nienaliczonych elementów wiersza użycia komercyjnego lub konfiguracji.
• Przejrzyj anomalie wydatków względem budżetu wydatków klienta w usłudze Azure Cost Management.
• Wyłącz lub usuń wszystkie naruszone zasoby:
  • Identyfikowanie i wykluczanie aktora zagrożeń: użyj zasobów zabezpieczeń firmy Microsoft i platformy Azure, aby pomóc w odzyskiwaniu po naruszeniu bezpieczeństwa tożsamości systemowej.
  • Sprawdź dziennik aktywności platformy Azure wszelkie zmiany na poziomie subskrypcji.
  • Cofnij przydział i usuń wszystkie zasoby utworzone przez nieautoryzowaną osobę. Obejrzyj , jak zachować czystą subskrypcję platformy Azure | Porady i wskazówki dotyczące platformy Azure (wideo)
  • Subskrypcje platformy Azure klientów można anulować za pośrednictwem interfejsu API (Anulowanie uprawnień platformy Azure) lub za pośrednictwem portalu Centrum partnerskiego.
  • Skontaktuj się pomoc techniczna platformy Azure natychmiast i zgłoś zdarzenie
  • Czyszczenie magazynu po zdarzeniu: Znajdowanie i usuwanie niedołączonych dysków zarządzanych i niezarządzanych platformy Azure — Azure Virtual Machines

Zapobieganie naruszeniom zabezpieczeń konta jest łatwiejsze niż odzyskiwanie po nim. Dlatego ważne jest, aby zwiększyć stan zabezpieczeń.

• Przejrzyj limit przydziału dla subskrypcji platformy Azure klientów i prześlij żądanie zmniejszenia nieużywanego limitu przydziału. Aby uzyskać więcej informacji, zobacz Zmniejszenie limitu przydziału.
• Przejrzyj i zaimplementuj najlepsze rozwiązania dotyczące zabezpieczeń Dostawca rozwiązań w chmurze.
• Współpracuj z klientami, aby dowiedzieć się i wdrożyć najlepsze rozwiązania w zakresie zabezpieczeń klientów.
• Upewnij się, że Defender dla Chmury jest włączona (dostępna jest warstwa bezpłatna dla tej usługi).
• Upewnij się, że Defender dla Chmury jest włączona (dostępna jest warstwa bezpłatna dla tej usługi).

Aby uzyskać więcej informacji, zobacz artykuł pomocy technicznej.

Więcej narzędzi do monitorowania

• Konfigurowanie alertów w witrynie Azure Portal
• Ustawianie budżetu wydatków na platformę Azure dla klientów

Jak przygotować klientów końcowych

Firma Microsoft wysyła powiadomienia do subskrypcji platformy Azure, które trafiają do klientów końcowych. Skontaktuj się z klientem końcowym, aby upewnić się, że mogą działać odpowiednio i są powiadamiani o różnych problemach z zabezpieczeniami w swoim środowisku:

• Konfigurowanie alertów użycia za pomocą usługi Azure Monitor lub usługi Azure Cost Management.
• Skonfiguruj alerty usługi Service Health, aby otrzymywać informacje o innych powiadomieniach firmy Microsoft dotyczących zabezpieczeń i innych powiązanych problemów.
• Skontaktuj się z administratorem dzierżawy organizacji (jeśli nie jest to zarządzane przez partnera), aby wymusić zwiększone środki zabezpieczeń w dzierżawie (zobacz następującą sekcję).

Dodatkowe informacje dotyczące ochrony dzierżawy

• Przejrzyj i zaimplementuj najlepsze rozwiązania dotyczące zabezpieczeń operacyjnych dla zasobów platformy Azure.
• Wymuszanie uwierzytelniania wieloskładnikowego w celu wzmocnienia stanu zabezpieczeń tożsamości.
• Zaimplementuj zasady ryzyka i alerty dla użytkowników o wysokim ryzyku i logowania: co to jest Ochrona tożsamości Microsoft Entra?.

Jeśli podejrzewasz, że nieautoryzowane użycie subskrypcji platformy Azure lub klienta, skontaktuj się z pomocą techniczną platformy Microsoft Azure, aby firma Microsoft mogła przyspieszyć wszelkie inne pytania lub wątpliwości.

Jeśli masz konkretne pytania dotyczące Centrum partnerskiego, prześlij wniosek o pomoc techniczną w Centrum partnerskim. Aby uzyskać więcej informacji: Uzyskiwanie pomocy technicznej w Centrum partnerskim.

Sprawdzanie powiadomień zabezpieczeń w obszarze Dzienniki aktywności

1. Zaloguj się do Centrum partnerskiego i wybierz ikonę ustawień (koła zębatego) w prawym górnym rogu, a następnie wybierz obszar roboczy Ustawienia konta.
2. Przejdź do obszaru Dzienniki aktywności na panelu po lewej stronie.
3. Ustaw daty Od i Do w górnym filtrze.
4. W obszarze Filtruj według typu operacji wybierz pozycję Wykryto zdarzenie oszustwa platformy Azure. W wybranym okresie powinny być widoczne wszystkie zdarzenia alertów zabezpieczeń.

Dlaczego partnerzy otrzymują starsze alerty zabezpieczeń platformy Azure?

Firma Microsoft wysyła alerty dotyczące oszustw platformy Azure od grudnia 2021 r. Jednak w przeszłości powiadomienie o alertach było oparte tylko na preferencjach zgody, gdzie partnerzy musieli wyrazić zgodę na otrzymywanie powiadomień. Zmieniliśmy to zachowanie. Partnerzy powinni teraz rozwiązać wszystkie otwarte alerty dotyczące oszustw (w tym stare alerty). Aby zabezpieczyć stan zabezpieczeń i klientów, postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń Dostawca rozwiązań w chmurze.

Firma Microsoft wysyła codzienne podsumowanie oszustw (jest to liczba partnerów, klientów i subskrypcji), jeśli w ciągu ostatnich 60 dni występuje aktywny nierozwiązany alert o oszustwie. Firma Microsoft wysyła codzienne podsumowanie oszustw (jest to liczba partnerów, klientów i subskrypcji), jeśli w ciągu ostatnich 60 dni występuje aktywny nierozwiązany alert o oszustwie.

Dlaczego nie widzę wszystkich alertów?

Powiadomienia o alertach zabezpieczeń są ograniczone do wykrywania wzorców niektórych nietypowych akcji na platformie Azure. Powiadomienia o alertach zabezpieczeń nie wykrywają i nie mają gwarancji wykrywania wszystkich nietypowych zachowań. Ważne jest, aby użyć innych metod monitorowania, aby ułatwić wykrywanie nietypowego użycia w subskrypcjach platformy Azure klienta, takich jak miesięczne budżety wydatków na platformę Azure. Jeśli otrzymasz alert, który jest znaczący i jest fałszywie ujemny, skontaktuj się z pomocą techniczną dla partnerów i podaj następujące informacje:

• Identyfikator dzierżawy partnera
• Identyfikator dzierżawy klienta
• Identyfikator subskrypcji
• Identyfikator zasobu
• Daty rozpoczęcia wpływu i zakończenia wpływu

Powiązana zawartość

• Integracja z interfejsem API alertów zabezpieczeń i rejestrowanie elementu webhook.