Compartilhar via

Responda a eventos de segurança com o painel Alertas de Segurança

  • Artigo

Funções apropriadas: Agente Administrador

Aplica-se a: parceiros de cobrança direta do Partner Center e provedores indiretos

O painel Alertas de Segurança do Partner Center ajuda você a responder rapidamente a eventos de segurança, fraude e outros eventos que ocorrem no Partner Center ou no locatário do cliente.

APIs

Se você tiver vários locatários do Microsoft Entra no Partner Center, poderá usar as seguintes APIs para obter e atualizar alertas em vez de usar o painel Alertas de Segurança :

Pré-requisitos

Para usar o painel Alertas de Segurança do Partner Center, sua conta de usuário deve receber a função Agente Administrador.

Importância da resposta atempada aos alertas

Quando um alerta é criado em seu painel, é fundamental que você faça a triagem e mitigue o incidente que causou o alerta o mais rápido possível. Como princípio orientador, recomendamos responder aos alertas dentro de uma hora. Para o tipo de alerta Fraude , quanto mais tempo você demorar para responder e mitigar o incidente que causou o alerta, maior será o impacto financeiro potencial.

Abrindo o painel

Para abrir o painel Alertas de Segurança do Partner Center:

  1. Entre no Partner Center como um usuário que tem a função de Agente Administrador.
  2. Selecione o espaço de trabalho Insights .
  3. No menu à esquerda, em Segurança, selecione Alertas.

Você também pode usar este link para ir diretamente para o painel.

Exibindo alertas

O painel mostra informações sobre as seguintes categorias de alerta.

Captura de tela que mostra o painel Alertas de Segurança do Partner Center, incluindo tempo médio de resposta, novos eventos esta semana, resolvidos e não resolvidos.

  • Tempo médio: o tempo médio para responder e resolver alertas nos últimos 30 dias.
  • Novos eventos esta semana: o número de novos alertas nos últimos sete dias.
  • Resolvido: o número de alertas que são resolvidos com um motivo especificado (por exemplo, Legítimo ou Fraude).
  • Não resolvido: o número de alertas não resolvidos que precisam de atenção.

A seção inferior do painel lista alertas que afetam o locatário do Partner Center em que você está conectado.

Captura de tela que mostra o painel de Alertas de Segurança e as ações que você pode executar, incluindo Cancelar assinatura e Exportar.

A tabela tem estas colunas:

  • Nome do alerta: informações de alto nível sobre o que foi detectado.
  • ID da assinatura: um identificador que aparece quando um alerta é detectado em uma assinatura específica do Azure.
  • ID do alerta: o identificador exclusivo do alerta.
  • Status do alerta: o status do alerta (Ativo ou Resolvido).
  • Observado pela primeira vez: a primeira vez que o alerta apareceu.
  • Última observação: a hora mais recente em que o alerta apareceu.
  • Tipo de alerta: o tipo de atividade que foi detectada e que causou o alerta. Há dois tipos de alerta:
    • Notificação do Azure: indica que uma mensagem foi enviada ao cliente da assinatura do Azure afetada e exibida como uma notificação de Integridade do Serviço. Uma cópia dessa mensagem aparece nos detalhes do alerta.
    • Uso do Azure: indica um aumento incomum na atividade na assinatura do Azure ou uma atividade anômala que ocorre na assinatura, como mineração de criptomoedas.
  • Gravidade: o nível de urgência em responder ao alerta.

Você pode usar a opção Filtro para alterar quais alertas aparecem no painel Alerta .

Você pode usar o recurso Pesquisar para pesquisar todos os alertas para as informações inseridas na caixa. Os resultados da pesquisa incluem as seguintes informações:

  • ID da assinatura
  • ID do alerta
  • Nome do cliente

Ações na página de detalhes do alerta

Para exibir mais detalhes sobre um alerta, selecione o nome do alerta. Por exemplo, o alerta de exemplo a seguir mostra o comportamento relacionado à mineração de criptomoeda que ocorre em uma assinatura do Azure.

Captura de tela que mostra detalhes de alerta relacionados à mineração de criptomoedas.

Seção superior

A parte superior da página de detalhes do alerta mostra informações do cliente e do revendedor (se aplicável).

Descrição do alerta

A seção Descrição do alerta fornece uma visão geral do motivo pelo qual o alerta ocorreu, juntamente com as etapas a serem investigadas.

Recursos afetados

A seção Recursos afetados contém duas ações:

  • Marcar como legítimo: você investigou os recursos e não encontrou nenhuma evidência do que o alerta indicava ou verificou com o cliente que o comportamento é esperado.
  • Marcar como fraude: você investigou os recursos e descobriu que eles estavam executando o comportamento indicado pelo alerta.

Ao concluir sua investigação no alerta, selecione uma ação para informar ao Partner Center o que você descobriu. A seleção de uma ação marca o alerta como Resolvido. A ação selecionada indica o motivo (ou seja, o valor Motivo ) pelo qual você está resolvendo o alerta.

Informações do recurso

A seção Informações do recurso fornece detalhes sobre os recursos envolvidos na detecção que causou o alerta. Neste exemplo, há uma máquina virtual chamada badvmtest no grupo de recursos chamado testserver. Os valores Hora da primeira conexão e Hora da última conexão indicam quando detectamos pela primeira vez esse recurso entrando em contato com um pool de mineração conhecido e a hora mais recente em que o observamos.

Informações adicionais

A seção Informações adicionais fornece detalhes sobre o comportamento que o recurso exibe, se houver algum disponível. Neste exemplo, a máquina virtual badvmtest se comunicou com o endereço IP de um pool de mineração conhecido. A seção Informações do recurso mostra que ele se conectou ao endereço IP quatro vezes entre a hora da primeira conexão e a hora da última conexão.

Recursos

Na seção Recursos, use os links para saber mais sobre alertas e o que fazer ao receber um alerta.

Seção inferior

A parte inferior da página de detalhes do alerta mostra três botões para ações que você pode executar.

Captura de tela que mostra a parte inferior de um alerta de segurança, com opções para cancelar uma assinatura, gerenciar uma assinatura ou voltar aos alertas.

  • Cancelar assinatura: você deve ter as funções de Administrador Global e Agente Administrador para usar essa ação. Se a investigação do alerta indicar que uma parte não autorizada ultrapassou a assinatura do Azure, você poderá selecionar Cancelar assinatura para desalocar todos os recursos na assinatura do Azure e marcar todos os dados na assinatura para exclusão após o período de retenção.

    Antes de executar essa ação, recomendamos que você se comunique com seu cliente sobre o alerta e (se possível) obtenha o consentimento dele para cancelar a assinatura. Quando você seleciona o botão, uma caixa de diálogo é exibida e solicita que você confirme se entende o impacto dessa ação.

    Captura de tela que mostra a caixa de diálogo para cancelar uma assinatura, com opções para voltar e continuar com o cancelamento.

    Para cancelar a assinatura do Azure, selecione Continuar com o cancelamento. Quando você seleciona Continuar com o cancelamento, a assinatura é cancelada e todos os alertas dessa assinatura são marcados como Resolvidos com o motivo Fraude.

    Para obter mais informações, consulte Cancelar uma assinatura do Azure.

  • Gerenciar assinatura: essa ação leva você ao portal do Azure usando o AOBO (Administrador em Nome de ). Com base no nível de acesso que o cliente concedeu a você, você poderá investigar mais detalhadamente os recursos indicados nos detalhes do alerta. Para obter mais informações, consulte Gerenciar assinaturas e recursos no plano do Azure.

  • Voltar aos alertas: essa ação retorna ao painel Alertas de Segurança com a lista de alertas.

Ações no painel Alertas de Segurança

Acima da lista de alertas no painel Alertas de Segurança estão duas ações que você pode executar.

Captura de tela que mostra o painel de Alertas de Segurança e as opções para cancelar uma assinatura e exportar informações.

  • Cancelar assinatura: você deve ter as funções de Administrador Global e Agente Administrador para usar essa ação. Se a investigação do alerta indicar que uma parte não autorizada ultrapassou a assinatura do Azure, você poderá selecionar Cancelar assinatura para desalocar todos os recursos na assinatura do Azure e marcar todos os dados na assinatura para exclusão após o período de retenção.

    Antes de executar essa ação, recomendamos que você se comunique com seu cliente sobre o alerta e (se possível) obtenha o consentimento dele para cancelar a assinatura. Quando você seleciona o botão, uma caixa de diálogo é exibida e solicita que você confirme se entende o impacto dessa ação.

    Para cancelar a assinatura do Azure, selecione Continuar com o cancelamento.

    Captura de tela que mostra a caixa de diálogo de confirmação para cancelar uma assinatura.

  • Exportar: se você quiser exportar todas as informações detalhadas sobre os alertas, poderá usar a ação Exportar para baixar um arquivo CSV (valores separados por vírgula) que contenha as informações do alerta.

    Essa ação produz um arquivo CSV apenas com os alertas que você está exibindo no momento. Para ajustar os alertas que você deseja exportar, use a opção Filtro .

Conteúdo relacionado