Поделиться через

Реагирование на события безопасности с помощью панели мониторинга оповещений системы безопасности

  • Статья

Соответствующие роли: агент по администрированию

Область применения: Прямой счет в Центре партнеров и косвенные поставщики

Панель мониторинга оповещений центра партнеров помогает партнерам быстро реагировать на безопасность, мошенничество и другие события, происходящие в центре партнеров или клиенте клиента.

API

Для партнеров с несколькими клиентами Microsoft Entra Центра партнеров можно использовать следующие API для получения и обновления оповещений вместо использования панели мониторинга оповещений:

Необходимые компоненты

Чтобы использовать панель мониторинга оповещений центра партнеров, учетная запись пользователя должна быть назначена роль агента администрирования.

Важность своевременного реагирования на оповещения

Когда на панели мониторинга создается оповещение, критически важно, чтобы устранить инцидент, который вызвал оповещение как можно скорее. В качестве руководящих принципов мы рекомендуем отвечать на оповещения в течение одного часа. Для оповещений о типах мошенничества , чем больше времени требуется для реагирования на инцидент, который вызвал оповещение, тем больше финансового влияния может быть начислено.

Чтобы получить доступ к информационной панели оповещений системы безопасности Центра партнеров, выполните следующие действия.

  1. Войдите в Центр партнеров с помощью роли агента администрирования.
  2. Выберите рабочую область Insights .
  3. В меню навигации слева в разделе "Безопасность" выберите "Оповещения".

Просмотр оповещений

На странице "Оповещения" показана следующая страница:

  • Новые оповещения на этой неделе — количество новых оповещений за последние семь дней.
  • Разрешено — количество оповещений, разрешенных с указанной причиной (например, "Законное " или "Мошенничество").
  • Активный и выполняемый процесс — количество неразрешенных оповещений, требующих внимания.

Снимок экрана: экран оповещений Центра партнеров, включая среднее время отклика, новые оповещения на этой неделе, разрешенные и активные и выполняющиеся.

В нижнем разделе страницы оповещений перечислены оповещения, влияющие на клиент Центра партнеров, в который вы вошли.

Снимок экрана: страница

  • Имя оповещения — это имя показывает высокий уровень сведений о обнаружении.
  • Идентификатор подписки. Этот идентификатор отображается при обнаружении оповещения в определенной подписке Azure.
  • Идентификатор оповещения — уникальный идентификатор оповещения.
  • Состояние оповещения — состояние оповещения (активный или разрешенный).
  • Первое наблюдаемое . При первом отображении оповещения.
  • Последнее наблюдение — последнее время отображения оповещения.
  • Тип оповещения — тип действия, обнаруженного и вызвавшего оповещение. Существует два типа оповещений:
    • Уведомления Azure. Это оповещение указывает, что сообщение было отправлено клиенту затронутой подписки Azure и отображается как уведомление о работоспособности служб. Копия этого сообщения отображается в сведениях об оповещении.
    • Использование Azure. Это оповещение означает либо необычное увеличение активности в подписке Azure, либо аномальное действие, возникающее в подписке, например интеллектуальное использование криптовалюты.
  • Серьезность — указывает уровень срочности, который следует принимать при реагировании на оповещение.

Параметр фильтра позволяет изменить, какие оповещения отображаются на странице "Оповещение".

Поиск позволяет выполнять поиск всех оповещений для сведений, которые вы вводите в поле поиска, и открывает страницу "Оповещение". В следующих полях выполняется поиск:

  • ИД подписки
  • Идентификатор оповещения
  • Имя клиента

Действия на странице сведений об оповещении

Пример страницы сведений об оповещении:

Чтобы просмотреть дополнительные сведения об оповещении, выберите имя оповещения. Например, в следующем примере оповещения показано поведение, связанное с добычей криптовалют, происходящим в подписке Azure.

Снимок экрана: сведения о оповещении, связанные с добычей криптовалют.

В верхней части страницы сведений об оповещении отображается информация о клиенте и торговом посреднике (если применимо).

Описание генерации оповещений содержит общие сведения о том, почему оповещение произошло вместе с действиями по изучению.

В разделе "Затронутые ресурсы " показаны следующие сведения:

  • Сведения о ресурсах— сведения о ресурсах, участвующих в обнаружении, вызвавшей оповещение. В этом примере в группе ресурсов "testserver" есть виртуальная машина с именем Badvmtest. Первое время подключения и время последнего подключения указывают, когда мы впервые обнаружили этот ресурс, связавшийся с известным пулом интеллектуального анализа данных, и самое последнее время, когда оно наблюдалось.

  • Дополнительные сведения . Если сведения о поведении, отображаемом ресурсом, отображаются здесь. В этом примере виртуальная машина badvmtest взаимодействует с IP-адресом известного пула интеллектуального анализа данных. В разделе сведений о ресурсе отображается подключение к IP-адресу четыре раза между временем первого подключения и временем последнего подключения.

  • Панель действий. Когда вы завершите исследование оповещения, выберите действие, чтобы сообщить Центру партнеров о том, что вы обнаружили. Выбор действия помечает разрешенное оповещение. Выбранное действие указывает причину , по которой вы разрешаете оповещение. Ниже приведены следующие параметры.

    • Пометить как допустимый . Вы изучили ресурсы и либо не нашли никаких доказательств того, что оповещение указало или после проверки с клиентом, они указывают, что поведение ожидается.
    • Пометить как мошенничество . Вы изучили ресурсы и обнаружили, что они выполняют поведение, указанное оповещением.

  • Ресурсы . Используйте ссылки в этом разделе оповещения, чтобы узнать больше о оповещениях и о том, что делать при получении оповещения.

    Снимок экрана: пример оповещения, в котором параметры включают Mark как законное или пометить как мошенничество.

  • Ресурсы — узнайте больше о оповещениях и о том, что делать при получении оповещения.

Выберите оповещение, чтобы открыть страницу сведений об оповещении.

Действия на странице сведений об оповещении

Пример страницы сведений об оповещении:

Снимок экрана: внизу оповещений системы безопасности с параметрами отмены подписки, управления подпиской или обратно в оповещения.

В примере страницы "Сведения об оповещении" показаны три действия, которые можно выполнить.

  • Отмена подписки . Для использования этого действия необходимо иметь роли глобального администратора и агента администрирования. Если исследование оповещения указывает на то, что подписка Azure переполнена несанкционированной стороной, вы можете выбрать "Отмена подписки ", чтобы освободить все ресурсы в подписке Azure и пометить все данные в подписке для удаления после периода хранения. Прежде чем выполнять это действие, рекомендуется взаимодействовать с клиентом о оповещении и, если это возможно, получить согласие на отмену подписки. При выборе этой кнопки вы увидите следующую страницу подтверждения, чтобы убедиться, что вы понимаете влияние этого действия. Нажмите кнопку "Продолжить с отменой" , чтобы отменить подписку Azure. При нажатии кнопки "Продолжить отмены" подписка отменяется, а все оповещения для этой подписки помечены как "Разрешено " по причине мошенничества.

    Снимок экрана: диалоговое окно

    Дополнительные сведения см. в статье "Отмена подписки Azure".

  • Управление подпиской . Действие "Управление подпиской" принимает вас на портал управления Azure с помощью администратора от имени. На основе уровня доступа, предоставленного клиентом, вы можете продолжить изучение ресурсов, указанных в разделе "Сведения об оповещении". Дополнительные сведения см. в разделе "Управление подписками и ресурсами" в рамках плана Azure.

  • Вернитесь к оповещениям. Возвращает вас на главную страницу панели мониторинга оповещений со списком оповещений.

Действия на странице "Оповещение"

Над списком оповещений на странице "Оповещение" можно выполнить два действия.

Снимок экрана: страница

  • Отмена подписки . Для использования этого действия необходимо иметь роли глобального администратора и агента администрирования. Если исследование оповещения указывает на то, что подписка Azure переполнена несанкционированной стороной, вы можете выбрать "Отмена подписки ", чтобы освободить все ресурсы в подписке Azure и пометить все данные в подписке для удаления после периода хранения. Прежде чем выполнять это действие, рекомендуется взаимодействовать с клиентом о оповещении и, если это возможно, получить согласие на отмену подписки. После нажатия этой кнопки вы увидите следующую страницу подтверждения, чтобы убедиться, что вы понимаете влияние этого действия. Нажмите кнопку "Продолжить с отменой" , чтобы отменить подписку Azure.

    Снимок экрана: страница

  • Экспорт . Если вы хотите экспортировать все подробные сведения об оповещениях, можно использовать действие экспорта для скачивания CSV-файла (разделенного запятыми значения), содержащего сведения об оповещении. Примечание. Экспорт создает CSV-файл только для просмотра оповещений. Измените параметр фильтра , чтобы отобразить оповещение, которое требуется экспортировать.

Связанный контент

Выявление мошенничества в Azure и уведомление о нем