Detectar e responder a alertas de segurança
Funções apropriadas: Agente administrativo
Aplica-se a: Fatura Direta do Partner Center e Provedores Indiretos
Você pode se inscrever em um novo alerta de segurança para detecções relacionadas a abuso de partes não autorizadas e invasões de contas. Esse alerta de segurança é uma das muitas maneiras pelas quais a Microsoft fornece os dados necessários para proteger os locatários do cliente. Você pode se inscrever em um novo alerta de segurança para detecções relacionadas a abuso de partes não autorizadas e invasões de contas. Esse alerta de segurança é uma das muitas maneiras pelas quais a Microsoft fornece os dados necessários para proteger os locatários do cliente.
Importante
Como parceiro no programa CSP (Provedor de Soluções na Nuvem), você é responsável pelo consumo do Azure de seus clientes, portanto, é importante que você esteja ciente de qualquer uso anômalo nas assinaturas do Azure do cliente. Use os alertas de segurança do Microsoft Azure para detectar padrões de atividades fraudulentas e uso indevido nos recursos do Azure para ajudar a reduzir sua exposição a riscos de transações online. Os alertas de segurança do Microsoft Azure não detectam todos os tipos de atividades fraudulentas ou uso indevido, portanto, é fundamental que você use métodos adicionais de monitoramento para ajudar a detectar o uso anômalo nas assinaturas do Azure do cliente. Para saber mais, consulte Gerenciando não pagamento, fraude ou uso indevido e Gerenciando contas de clientes.
Ação necessária: Com monitoramento e conscientização de sinais, você pode tomar medidas imediatas para determinar se o comportamento é legítimo ou fraudulento. Se necessário, você pode suspender os recursos afetados do Azure ou as assinaturas do Azure para atenuar um problema.
Certifique-se de que o endereço de e-mail preferencial para seus Agentes Administradores Parceiros esteja atualizado, para que eles possam ser notificados junto com os contatos de segurança.
Inscrever-se para receber notificações de alerta de segurança
Você pode se inscrever para receber várias notificações de parceiros com base em sua função.
Os alertas de segurança notificam você quando a assinatura do Azure do cliente mostra possíveis atividades anômalas.
Receba alertas por e-mail
- Entre no Partner Center e selecione Notificações (sino).
- Selecione Minhas preferências.
- Defina um endereço de e-mail preferencial, caso ainda não tenha feito isso.
- Defina o idioma preferido para a notificação, caso ainda não tenha feito isso.
- Selecione Editar ao lado de Preferências de notificação por e-mail.
- Marque todas as caixas relacionadas a Clientes na coluna Espaço de trabalho . (Para cancelar a assinatura, desmarque a seção transacional no espaço de trabalho do cliente.)
- Selecione Salvar.
Enviamos alertas de segurança quando detectamos possíveis atividades de alerta de segurança ou uso indevido em algumas das assinaturas do Microsoft Azure de seus clientes. Existem três tipos de e-mails:
- Resumo diário de alertas de segurança não resolvidos (contagem de parceiros, clientes e assinaturas afetadas por vários tipos de alerta)
- Alertas de segurança quase em tempo real. Para obter uma lista de assinaturas do Azure que têm possíveis problemas de segurança, consulte Obter eventos de fraude.
- Notificações de consultoria de segurança quase em tempo real. Essas notificações fornecem visibilidade das notificações enviadas ao cliente quando há um alerta de segurança.
Os parceiros de cobrança direta do CSP (Provedor de Soluções na Nuvem) podem ver mais alertas para atividades, por exemplo: uso anômalo de computação, mineração de criptografia, uso do Azure Machine Learning e notificações de consultoria de integridade do serviço. Os parceiros de cobrança direta do CSP (Provedor de Soluções na Nuvem) podem ver mais alertas para atividades, por exemplo: uso anômalo de computação, mineração de criptografia, uso do Azure Machine Learning e notificações de consultoria de integridade do serviço.
Receber alertas por meio de um webhook
Os parceiros podem se registrar em um evento de webhook: azure-fraud-event-detected para receber alertas de eventos de alteração de recursos. Para saber mais, consulte Eventos de webhook do Partner Center.
Ver e responder a alertas por meio do painel Alertas de Segurança
Os parceiros CSP podem acessar o painel Alertas de Segurança do Partner Center para detectar e responder a alertas. Para saber mais, consulte Responder a eventos de segurança com o painel de Alertas de Segurança do Partner Center. Os parceiros CSP podem acessar o painel Alertas de Segurança do Partner Center para detectar e responder a alertas. Para saber mais, consulte Responder a eventos de segurança com o painel de Alertas de Segurança do Partner Center.
Obter detalhes de alerta por meio da API
Usar a nova API de Alertas de Segurança do Microsoft Graph (Beta)
Benefícios: a partir de maio de 2024, a versão prévia da API de Alertas de Segurança do Microsoft Graph está disponível. Essa API fornece uma experiência unificada de gateway de API em outros serviços da Microsoft, como Microsoft Entra ID, Teams e Outlook.
Requisitos de integração: os parceiros CSP que estão integrando precisam usar a nova API Beta de Alertas de Segurança. Para saber mais, consulte Usar a API de alerta de segurança do parceiro no Microsoft Graph.
A versão V1 da API de Alertas de Segurança do Microsoft Graph será lançada em julho de 2024.
| Caso de uso | APIs |
|---|---|
| Integração à API do Microsoft Graph para obter o Token de Acesso | Obter acesso em nome de um usuário |
| Listar alertas de segurança para obter visibilidade dos alertas | Listar securityAlerts |
| Obter alertas de segurança para obter visibilidade de um alerta específico com base no parâmetro de consulta selecionado. | Obter partnerSecurityAlert |
| Obter token para chamar as APIs do Partner Center para obter informações de referência | Habilitar o modelo de aplicativo seguro |
| Obter as informações do perfil da sua organização | Obter o perfil de uma organização |
| Obtenha suas informações de cliente por ID | Obter um cliente por ID |
| Obter suas informações de Revendedores Indiretos de um Cliente por ID | Obter revendedores indiretos de um cliente |
| Obter informações de assinatura do cliente por ID | Obter uma assinatura por ID |
| Atualizar o status do alerta e resolver quando mitigado | Atualizar partnerSecurityAlert |
Suporte para a API FraudEvents existente
Importante
A API de eventos de fraude legada será preterida no 4º trimestre de 2024. Para obter mais detalhes, fique atento aos anúncios mensais de segurança do Partner Center. Os parceiros CSP devem migrar para a nova API de Alertas de Segurança do Microsoft Graph, que agora está disponível em versão prévia.
Durante o período de transição, os parceiros CSP podem continuar a usar a API FraudEvents para obter sinais de detecção extras usando X-NewEventsModel. Com esse modelo, você pode obter novos tipos de alertas à medida que eles são adicionados ao sistema, por exemplo, uso anômalo de computação, mineração de criptografia, uso do Azure Machine Learning e notificações de consultoria de integridade do serviço. Novos tipos de alertas podem ser adicionados com aviso limitado, pois as ameaças também estão evoluindo. Se você usar tratamento especial por meio da API para diferentes tipos de alerta, monitore essas APIs para ver se há alterações:
O que fazer quando você recebe uma notificação de alerta de segurança
A lista de verificação a seguir fornece as próximas etapas sugeridas para o que fazer quando você receber uma notificação de segurança.
- Verifique se a notificação por e-mail é válida. Quando enviamos alertas de segurança, eles são enviados do Microsoft Azure, com o endereço de email:
no-reply@microsoft.com. Os parceiros só recebem notificações da Microsoft. - Quando você é notificado, também pode ver o alerta por email no portal da Central de Ações. Selecione o ícone de sino para ver os alertas da Central de Ações.
- Examine as assinaturas do Azure. Determine se a atividade na assinatura é legítima e esperada ou se a atividade pode ser devido a abuso ou fraude não autorizados.
- Informe-nos o que você encontrou, seja por meio do painel de alertas de segurança ou da API. Para saber mais sobre como usar a API, consulte Atualizar status de evento de fraude. Use as seguintes categorias para descrever o que você encontrou:
- Legítimo - A atividade é esperada ou um sinal falso positivo.
- Fraude - A atividade é devido a abuso ou fraude não autorizados.
- Ignorar - A atividade é um alerta mais antigo e deve ser ignorada. Para saber mais, consulte Por que os parceiros estão recebendo alertas de segurança mais antigos?.
Que outras medidas você pode tomar para reduzir o risco de comprometimento?
- Habilite a MFA (autenticação multifator) em seus locatários de clientes e parceiros. As contas que têm permissões para gerenciar as assinaturas do Azure dos clientes precisam ser compatíveis com MFA. Para saber mais, consulte Práticas recomendadas de segurança do Provedor de Soluções na Nuvem e Práticas recomendadas de segurança do cliente.
- Configure alertas para monitorar suas permissões de acesso RBAC (controle de acesso baseado em função) do Azure nas assinaturas do Azure dos clientes. Para saber mais, confira Plano do Azure – Gerenciar assinaturas e recursos.
- Audite as alterações de permissão nas assinaturas do Azure de seus clientes. Examine o log de atividades do Azure Monitor para atividades relacionadas à assinatura do Azure.
- Examine as anomalias de gastos em relação ao seu orçamento de gastos no gerenciamento de custos do Azure.
- Instrua e trabalhe com os clientes para reduzir a cota não utilizada para evitar os danos permitidos na assinatura do Azure: Visão geral das cotas – Cotas do Azure.
- Enviar solicitação para gerenciar a cota do Azure: como criar uma solicitação de suporte do Azure – Suporte do Azure
- Examine o uso atual da cota: Referência da API REST da Cota do Azure
- Se você estiver executando cargas de trabalho críticas que exigem alta capacidade, considere a reserva de capacidade sob demanda ou as instâncias de máquina virtual reservadas do Azure
O que você deve fazer se uma assinatura do Azure for comprometida?
Tome medidas imediatas para proteger sua conta e seus dados. Aqui estão algumas sugestões e dicas para responder rapidamente e conter um possível incidente para reduzir seu impacto e risco geral de negócios.
Corrigir identidades comprometidas em um ambiente de nuvem é crucial para garantir a segurança geral dos sistemas baseados em nuvem. As identidades comprometidas podem fornecer aos invasores acesso a dados e recursos confidenciais, tornando essencial tomar medidas imediatas para proteger a conta e os dados.
Altere imediatamente as credenciais para:
- Administradores de locatários e acesso RBAC em assinaturas do Azure O que é o RBAC (controle de acesso baseado em função) do Azure?
- Siga as orientações de senha. Recomendações de política de senha
- Verifique se todos os administradores de locatários e proprietários de RBAC têm MFA registrada e imposta
Revise e verifique todos os e-mails e números de telefone de recuperação de senha do usuário administrador na ID do Microsoft Entra. Atualize-os, se necessário. Recomendações de política de senha
Verifique quais usuários, locatários e assinaturas estão em risco no portal do Azure.
- Investigue o risco acessando a ID do Microsoft Entra para examinar os Relatórios de Risco do Identity Protection. Para saber mais, consulte Investigar o risco Proteção de ID do Microsoft Entra
- Requisitos de licença para proteção de identidade
- Corrigir riscos e desbloquear usuários
- Experiências do usuário com o Microsoft Entra ID Protection
Examine os logs de entrada do Microsoft Entra no locatário do cliente para ver padrões de entrada incomuns no momento em que o alerta de segurança é disparado.
Depois que os agentes mal-intencionados forem removidos, limpe os recursos comprometidos. Fique de olho na assinatura afetada para garantir que não haja mais atividades suspeitas. Também é uma boa ideia revisar regularmente seus registros e trilhas de auditoria para garantir que sua conta esteja segura.
- Verifique se há alguma atividade não autorizada no Log de Atividades do Azure, por exemplo, alterações em nossa cobrança, uso de itens de linha de consumo comercial não cobrados ou configurações.
- Examine as anomalias de gastos em relação ao orçamento de gastos do cliente no gerenciamento de custos do Azure.
- Desative ou exclua todos os recursos comprometidos:
- Identifique e remova o agente da ameaça: use os recursos de segurança da Microsoft e do Azure para ajudar a se recuperar do comprometimento da identidade sistêmica.
- Verifique as alterações no nível da assinatura no Log de Atividades do Azure .
- Desaloque e remova todos os recursos criados por uma parte não autorizada. Assista Como manter sua assinatura do Azure limpa | Dicas e truques do Azure (vídeo)
- Você pode cancelar as assinaturas do Azure dos clientes por meio da API (Cancelar um direito do Azure) ou por meio do portal do Partner Center.
- Entre em contato com o suporte do Azure imediatamente e relate o incidente
- Limpar o armazenamento após o evento: localizar e excluir discos gerenciados e não gerenciados do Azure desanexados - Máquinas Virtuais do Azure
Evitar o comprometimento da conta é mais fácil do que se recuperar dele. Portanto, é importante fortalecer sua postura de segurança.
- Examine a cota nas assinaturas do Azure dos clientes e envie a solicitação para reduzir a cota não utilizada. Para obter mais informações, consulte Reduzir cota.
- Revise e implemente as práticas recomendadas de segurança do Provedor de Soluções na Nuvem.
- Trabalhe com seus clientes para aprender e implementar as práticas recomendadas de segurança do cliente.
- Verifique se o Defender para Nuvem está ativado (há uma camada gratuita disponível para este serviço).
- Verifique se o Defender para Nuvem está ativado (há uma camada gratuita disponível para este serviço).
Para obter mais informações, consulte o artigo suporte.
Mais ferramentas para monitoramento
Como preparar seus clientes finais
A Microsoft envia notificações para assinaturas do Azure, que vão para seus clientes finais. Trabalhe com seu cliente final para garantir que ele possa agir adequadamente e seja alertado sobre vários problemas de segurança em seu ambiente:
- Configure alertas de uso com o Azure Monitor ou o Gerenciamento de Custos do Azure.
- Configure os Alertas de Integridade do Serviço para estar ciente de outras notificações da Microsoft sobre segurança e outros problemas relacionados.
- Trabalhe com o administrador de locatários da sua organização (se isso não for gerenciado pelo parceiro) para impor medidas de segurança aumentadas em seu locatário (consulte a seção a seguir).
Informações adicionais para proteger seu locatário
- Examine e implemente as melhores práticas de segurança operacional para seus ativos do Azure.
- Aplique a autenticação multifator para fortalecer sua postura de segurança de identidade.
- Implemente políticas de risco e alertas para usuários e entradas de alto risco: o que é a Proteção de ID do Microsoft Entra?.
Se você suspeitar de uso não autorizado de sua assinatura do Azure ou de seu cliente, entre em contato com o Suporte do Microsoft Azure para que a Microsoft possa ajudar a agilizar quaisquer outras dúvidas ou preocupações.
Se você tiver perguntas específicas sobre o Partner Center, envie uma solicitação de suporte no Partner Center. Para obter mais informações: Obter suporte no Partner Center.
Verifique as notificações de segurança em Logs de atividades
- Entre no Partner Center e selecione o ícone de configurações (engrenagem) no canto superior direito e, em seguida, selecione o workspace Configurações da conta.
- Navegue até Logs de atividades no painel esquerdo.
- Defina as datas De e Até no filtro superior.
- Em Filtrar por Tipo de Operação, selecione Evento de Fraude do Azure Detectado. Você deve ser capaz de ver todos os alertas de segurança Eventos detectados para o período selecionado.
Por que os parceiros estão recebendo alertas de segurança mais antigos do Azure?
A Microsoft envia alertas de fraude do Azure desde dezembro de 2021. No entanto, no passado, a notificação de alerta era baseada apenas na preferência de opt-in, onde os parceiros tinham que optar por receber avisos. Mudamos esse comportamento. Os parceiros agora devem resolver todos os alertas de fraude (incluindo alertas antigos) que estão abertos. Para proteger sua postura de segurança e a de seus clientes, siga as práticas recomendadas de segurança do Provedor de Soluções na Nuvem.
A Microsoft está enviando o resumo diário de fraudes (essa é a contagem de parceiros, clientes e assinaturas afetadas) se houver um alerta de fraude não resolvido ativo nos últimos 60 dias. A Microsoft está enviando o resumo diário de fraudes (essa é a contagem de parceiros, clientes e assinaturas afetadas) se houver um alerta de fraude não resolvido ativo nos últimos 60 dias.
Por que não estou vendo todos os alertas?
As notificações de alerta de segurança são limitadas à detecção de padrões de determinadas ações anômalas no Azure. As notificações de alerta de segurança não detectam e não têm garantia de detectar todos os comportamentos anômalos. É fundamental que você use outros métodos de monitoramento para ajudar a detectar o uso anômalo nas assinaturas do Azure do cliente, como orçamentos mensais de gastos do Azure. Se você receber um alerta significativo e falso negativo, entre em contato com o Suporte ao Parceiro e forneça as seguintes informações:
- ID do locatário do parceiro
- ID de locatário do cliente
- ID da assinatura
- ID de Recurso
- Datas de início e término do impacto
Conteúdo relacionado
- Integre-se à API de Alertas de Segurança e registre um webhook.