Compartilhar via


Detectar e responder a alertas de segurança

Funções apropriadas: Agente administrativo

Aplica-se a: Fatura Direta do Partner Center e Provedores Indiretos

Você pode se inscrever em um novo alerta de segurança para detecções relacionadas a abuso de partes não autorizadas e invasões de contas. Esse alerta de segurança é uma das muitas maneiras pelas quais a Microsoft fornece os dados necessários para proteger os locatários do cliente. Você pode se inscrever em um novo alerta de segurança para detecções relacionadas a abuso de partes não autorizadas e invasões de contas. Esse alerta de segurança é uma das muitas maneiras pelas quais a Microsoft fornece os dados necessários para proteger os locatários do cliente.

Importante

Como parceiro no programa CSP (Provedor de Soluções na Nuvem), você é responsável pelo consumo do Azure de seus clientes, portanto, é importante que você esteja ciente de qualquer uso anômalo nas assinaturas do Azure do cliente. Use os alertas de segurança do Microsoft Azure para detectar padrões de atividades fraudulentas e uso indevido nos recursos do Azure para ajudar a reduzir sua exposição a riscos de transações online. Os alertas de segurança do Microsoft Azure não detectam todos os tipos de atividades fraudulentas ou uso indevido, portanto, é fundamental que você use métodos adicionais de monitoramento para ajudar a detectar o uso anômalo nas assinaturas do Azure do cliente. Para saber mais, consulte Gerenciando não pagamento, fraude ou uso indevido e Gerenciando contas de clientes.

Ação necessária: Com monitoramento e conscientização de sinais, você pode tomar medidas imediatas para determinar se o comportamento é legítimo ou fraudulento. Se necessário, você pode suspender os recursos afetados do Azure ou as assinaturas do Azure para atenuar um problema.

Certifique-se de que o endereço de e-mail preferencial para seus Agentes Administradores Parceiros esteja atualizado, para que eles possam ser notificados junto com os contatos de segurança.

Inscrever-se para receber notificações de alerta de segurança

Você pode se inscrever para receber várias notificações de parceiros com base em sua função.

Os alertas de segurança notificam você quando a assinatura do Azure do cliente mostra possíveis atividades anômalas.

Receba alertas por e-mail

  1. Entre no Partner Center e selecione Notificações (sino).
  2. Selecione Minhas preferências.
  3. Defina um endereço de e-mail preferencial, caso ainda não tenha feito isso.
  4. Defina o idioma preferido para a notificação, caso ainda não tenha feito isso.
  5. Selecione Editar ao lado de Preferências de notificação por e-mail.
  6. Marque todas as caixas relacionadas a Clientes na coluna Espaço de trabalho . (Para cancelar a assinatura, desmarque a seção transacional no espaço de trabalho do cliente.)
  7. Selecione Salvar.

Enviamos alertas de segurança quando detectamos possíveis atividades de alerta de segurança ou uso indevido em algumas das assinaturas do Microsoft Azure de seus clientes. Existem três tipos de e-mails:

  • Resumo diário de alertas de segurança não resolvidos (contagem de parceiros, clientes e assinaturas afetadas por vários tipos de alerta)
  • Alertas de segurança quase em tempo real. Para obter uma lista de assinaturas do Azure que têm possíveis problemas de segurança, consulte Obter eventos de fraude.
  • Notificações de consultoria de segurança quase em tempo real. Essas notificações fornecem visibilidade das notificações enviadas ao cliente quando há um alerta de segurança.

Os parceiros de cobrança direta do CSP (Provedor de Soluções na Nuvem) podem ver mais alertas para atividades, por exemplo: uso anômalo de computação, mineração de criptografia, uso do Azure Machine Learning e notificações de consultoria de integridade do serviço. Os parceiros de cobrança direta do CSP (Provedor de Soluções na Nuvem) podem ver mais alertas para atividades, por exemplo: uso anômalo de computação, mineração de criptografia, uso do Azure Machine Learning e notificações de consultoria de integridade do serviço.

Receber alertas por meio de um webhook

Os parceiros podem se registrar em um evento de webhook: azure-fraud-event-detected para receber alertas de eventos de alteração de recursos. Para saber mais, consulte Eventos de webhook do Partner Center.

Ver e responder a alertas por meio do painel Alertas de Segurança

Os parceiros CSP podem acessar o painel Alertas de Segurança do Partner Center para detectar e responder a alertas. Para saber mais, consulte Responder a eventos de segurança com o painel de Alertas de Segurança do Partner Center. Os parceiros CSP podem acessar o painel Alertas de Segurança do Partner Center para detectar e responder a alertas. Para saber mais, consulte Responder a eventos de segurança com o painel de Alertas de Segurança do Partner Center.

Obter detalhes de alerta por meio da API

Usar a nova API de Alertas de Segurança do Microsoft Graph (Beta)

Benefícios: a partir de maio de 2024, a versão prévia da API de Alertas de Segurança do Microsoft Graph está disponível. Essa API fornece uma experiência unificada de gateway de API em outros serviços da Microsoft, como Microsoft Entra ID, Teams e Outlook.

Requisitos de integração: os parceiros CSP que estão integrando precisam usar a nova API Beta de Alertas de Segurança. Para saber mais, consulte Usar a API de alerta de segurança do parceiro no Microsoft Graph.

A versão V1 da API de Alertas de Segurança do Microsoft Graph será lançada em julho de 2024.

Caso de uso APIs
Integração à API do Microsoft Graph para obter o Token de Acesso Obter acesso em nome de um usuário
Listar alertas de segurança para obter visibilidade dos alertas Listar securityAlerts
Obter alertas de segurança para obter visibilidade de um alerta específico com base no parâmetro de consulta selecionado. Obter partnerSecurityAlert
Obter token para chamar as APIs do Partner Center para obter informações de referência Habilitar o modelo de aplicativo seguro
Obter as informações do perfil da sua organização Obter o perfil de uma organização
Obtenha suas informações de cliente por ID Obter um cliente por ID
Obter suas informações de Revendedores Indiretos de um Cliente por ID Obter revendedores indiretos de um cliente
Obter informações de assinatura do cliente por ID Obter uma assinatura por ID
Atualizar o status do alerta e resolver quando mitigado Atualizar partnerSecurityAlert

Suporte para a API FraudEvents existente

Importante

A API de eventos de fraude legada será preterida no 4º trimestre de 2024. Para obter mais detalhes, fique atento aos anúncios mensais de segurança do Partner Center. Os parceiros CSP devem migrar para a nova API de Alertas de Segurança do Microsoft Graph, que agora está disponível em versão prévia.

Durante o período de transição, os parceiros CSP podem continuar a usar a API FraudEvents para obter sinais de detecção extras usando X-NewEventsModel. Com esse modelo, você pode obter novos tipos de alertas à medida que eles são adicionados ao sistema, por exemplo, uso anômalo de computação, mineração de criptografia, uso do Azure Machine Learning e notificações de consultoria de integridade do serviço. Novos tipos de alertas podem ser adicionados com aviso limitado, pois as ameaças também estão evoluindo. Se você usar tratamento especial por meio da API para diferentes tipos de alerta, monitore essas APIs para ver se há alterações:

O que fazer quando você recebe uma notificação de alerta de segurança

A lista de verificação a seguir fornece as próximas etapas sugeridas para o que fazer quando você receber uma notificação de segurança.

  • Verifique se a notificação por e-mail é válida. Quando enviamos alertas de segurança, eles são enviados do Microsoft Azure, com o endereço de email: no-reply@microsoft.com. Os parceiros só recebem notificações da Microsoft.
  • Quando você é notificado, também pode ver o alerta por email no portal da Central de Ações. Selecione o ícone de sino para ver os alertas da Central de Ações.
  • Examine as assinaturas do Azure. Determine se a atividade na assinatura é legítima e esperada ou se a atividade pode ser devido a abuso ou fraude não autorizados.
  • Informe-nos o que você encontrou, seja por meio do painel de alertas de segurança ou da API. Para saber mais sobre como usar a API, consulte Atualizar status de evento de fraude. Use as seguintes categorias para descrever o que você encontrou:

Que outras medidas você pode tomar para reduzir o risco de comprometimento?

O que você deve fazer se uma assinatura do Azure for comprometida?

Tome medidas imediatas para proteger sua conta e seus dados. Aqui estão algumas sugestões e dicas para responder rapidamente e conter um possível incidente para reduzir seu impacto e risco geral de negócios.

Corrigir identidades comprometidas em um ambiente de nuvem é crucial para garantir a segurança geral dos sistemas baseados em nuvem. As identidades comprometidas podem fornecer aos invasores acesso a dados e recursos confidenciais, tornando essencial tomar medidas imediatas para proteger a conta e os dados.

Depois que os agentes mal-intencionados forem removidos, limpe os recursos comprometidos. Fique de olho na assinatura afetada para garantir que não haja mais atividades suspeitas. Também é uma boa ideia revisar regularmente seus registros e trilhas de auditoria para garantir que sua conta esteja segura.

Evitar o comprometimento da conta é mais fácil do que se recuperar dele. Portanto, é importante fortalecer sua postura de segurança.

  • Examine a cota nas assinaturas do Azure dos clientes e envie a solicitação para reduzir a cota não utilizada. Para obter mais informações, consulte Reduzir cota.
  • Revise e implemente as práticas recomendadas de segurança do Provedor de Soluções na Nuvem.
  • Trabalhe com seus clientes para aprender e implementar as práticas recomendadas de segurança do cliente.
  • Verifique se o Defender para Nuvem está ativado (há uma camada gratuita disponível para este serviço).
  • Verifique se o Defender para Nuvem está ativado (há uma camada gratuita disponível para este serviço).

Para obter mais informações, consulte o artigo suporte.

Mais ferramentas para monitoramento

Como preparar seus clientes finais

A Microsoft envia notificações para assinaturas do Azure, que vão para seus clientes finais. Trabalhe com seu cliente final para garantir que ele possa agir adequadamente e seja alertado sobre vários problemas de segurança em seu ambiente:

  • Configure alertas de uso com o Azure Monitor ou o Gerenciamento de Custos do Azure.
  • Configure os Alertas de Integridade do Serviço para estar ciente de outras notificações da Microsoft sobre segurança e outros problemas relacionados.
  • Trabalhe com o administrador de locatários da sua organização (se isso não for gerenciado pelo parceiro) para impor medidas de segurança aumentadas em seu locatário (consulte a seção a seguir).

Informações adicionais para proteger seu locatário

Se você suspeitar de uso não autorizado de sua assinatura do Azure ou de seu cliente, entre em contato com o Suporte do Microsoft Azure para que a Microsoft possa ajudar a agilizar quaisquer outras dúvidas ou preocupações.

Se você tiver perguntas específicas sobre o Partner Center, envie uma solicitação de suporte no Partner Center. Para obter mais informações: Obter suporte no Partner Center.

Verifique as notificações de segurança em Logs de atividades

  1. Entre no Partner Center e selecione o ícone de configurações (engrenagem) no canto superior direito e, em seguida, selecione o workspace Configurações da conta.
  2. Navegue até Logs de atividades no painel esquerdo.
  3. Defina as datas De e Até no filtro superior.
  4. Em Filtrar por Tipo de Operação, selecione Evento de Fraude do Azure Detectado. Você deve ser capaz de ver todos os alertas de segurança Eventos detectados para o período selecionado.

Por que os parceiros estão recebendo alertas de segurança mais antigos do Azure?

A Microsoft envia alertas de fraude do Azure desde dezembro de 2021. No entanto, no passado, a notificação de alerta era baseada apenas na preferência de opt-in, onde os parceiros tinham que optar por receber avisos. Mudamos esse comportamento. Os parceiros agora devem resolver todos os alertas de fraude (incluindo alertas antigos) que estão abertos. Para proteger sua postura de segurança e a de seus clientes, siga as práticas recomendadas de segurança do Provedor de Soluções na Nuvem.

A Microsoft está enviando o resumo diário de fraudes (essa é a contagem de parceiros, clientes e assinaturas afetadas) se houver um alerta de fraude não resolvido ativo nos últimos 60 dias. A Microsoft está enviando o resumo diário de fraudes (essa é a contagem de parceiros, clientes e assinaturas afetadas) se houver um alerta de fraude não resolvido ativo nos últimos 60 dias.

Por que não estou vendo todos os alertas?

As notificações de alerta de segurança são limitadas à detecção de padrões de determinadas ações anômalas no Azure. As notificações de alerta de segurança não detectam e não têm garantia de detectar todos os comportamentos anômalos. É fundamental que você use outros métodos de monitoramento para ajudar a detectar o uso anômalo nas assinaturas do Azure do cliente, como orçamentos mensais de gastos do Azure. Se você receber um alerta significativo e falso negativo, entre em contato com o Suporte ao Parceiro e forneça as seguintes informações:

  • ID do locatário do parceiro
  • ID de locatário do cliente
  • ID da assinatura
  • ID de Recurso
  • Datas de início e término do impacto