Dela via

Svara på säkerhetshändelser med instrumentpanelen för säkerhetsaviseringar

  • Artikel

Lämpliga roller: Administratörsagent

Gäller för: Partnercenters direktfaktureringspartner och indirekta leverantörer

Instrumentpanelen Säkerhetsaviseringar i Partnercenter hjälper dig att snabbt svara på säkerhets-, bedrägeri- och andra händelser som inträffar i Partnercenter eller kundens klientorganisation.

API:er

Om du har flera Microsoft Entra-klienter i Partnercenter kan du använda följande API:er för att hämta och uppdatera aviseringar i stället för att använda instrumentpanelen Säkerhetsaviseringar :

Förutsättningar

Om du vill använda instrumentpanelen Säkerhetsaviseringar i Partnercenter måste ditt användarkonto tilldelas rollen Administratörsagent.

Vikten av snabbt svar på aviseringar

När en avisering skapas på instrumentpanelen är det viktigt att du sorterar och minimerar incidenten som orsakade aviseringen så snart som möjligt. Som en vägledande princip rekommenderar vi att du svarar på aviseringar inom en timme. För bedrägeritypen av aviseringar, desto längre tid tar det att svara på och minimera incidenten som orsakade aviseringen, desto större är den potentiella ekonomiska effekten.

Öppna instrumentpanelen

Så här öppnar du instrumentpanelen för Säkerhetsaviseringar i Partnercenter:

  1. Logga in på Partnercenter som en användare som har rollen Administratörsagent.
  2. Välj arbetsytan Insikter.
  3. Välj Aviseringar under Säkerhet på den vänstra menyn.

Du kan också använda den här länken för att gå direkt till instrumentpanelen.

Visa aviseringar

Instrumentpanelen visar information om följande aviseringskategorier.

Skärmbild som visar instrumentpanelen för Säkerhetsaviseringar i Partnercenter, inklusive genomsnittlig svarstid, nya händelser den här veckan, lösta och olösta.

  • Genomsnittlig tid: Den genomsnittliga tiden för att svara på och lösa aviseringar under de senaste 30 dagarna.
  • Nya händelser den här veckan: Antalet nya aviseringar för de senaste sju dagarna.
  • Löst: Antalet aviseringar som löses med en angiven orsak (till exempel Legitimt eller Bedrägeri).
  • Olöst: Antalet olösta aviseringar som behöver åtgärdas.

I det nedre avsnittet på instrumentpanelen visas aviseringar som påverkar partnercenterklientorganisationen där du är inloggad.

Skärmbild som visar instrumentpanelen säkerhetsaviseringar och åtgärder som du kan vidta, inklusive Avbryt prenumeration och Exportera.

Tabellen har följande kolumner:

  • Aviseringsnamn: Information på hög nivå om vad som har identifierats.
  • Prenumerations-ID: En identifierare som visas när en avisering identifieras i en specifik Azure-prenumeration.
  • Aviserings-ID: Den unika identifieraren för aviseringen.
  • Aviseringsstatus: Status för aviseringen (aktiv eller löst).
  • Först observerades: Första gången som aviseringen visades.
  • Senast observerad: Den senaste gången som aviseringen visades.
  • Aviseringstyp: Den typ av aktivitet som identifierades och som orsakade aviseringen. Det finns två aviseringstyper:
    • Azure-meddelande: Anger att ett meddelande skickades till kunden för den berörda Azure-prenumerationen och visades som ett Service Health-meddelande . En kopia av det här meddelandet visas i aviseringsinformationen.
    • Azure-användning: Anger antingen en ovanlig ökning av aktiviteten i Azure-prenumerationen eller en avvikande aktivitet som inträffar i prenumerationen, till exempel utvinning av kryptovalutor.
  • Allvarlighetsgrad: Hur brådskande det är att svara på aviseringen.

Du kan använda alternativet Filter för att ändra vilka aviseringar som visas på aviseringsinstrumentpanelen.

Du kan använda sökfunktionen för att söka i alla aviseringar efter den information som du anger i rutan. Sökresultaten innehåller följande information:

  • Prenumerations-ID
  • Aviserings-ID
  • Kundnamn

Åtgärder på sidan med aviseringsinformation

Om du vill visa mer information om en avisering väljer du aviseringsnamnet. I följande exempelavisering visas till exempel beteende som relaterar till utvinning av kryptovalutor som inträffar i en Azure-prenumeration.

Skärmbild som visar aviseringsinformation som rör utvinning av kryptovalutor.

Övre avsnittet

Överst på sidan med aviseringsinformation visas information om kunder och återförsäljare (om tillämpligt).

Beskrivning av aviseringen

Avsnittet Aviseringsbeskrivning ger en översikt över varför aviseringen inträffade, tillsammans med steg för att undersöka.

Resurser som påverkas

Avsnittet Påverkade resurser innehåller två åtgärder:

  • Markera som legitim: Du undersökte resurserna och hittade antingen inga bevis för vad aviseringen angav eller verifierade med kunden att beteendet är förväntat.
  • Markera som bedrägeri: Du undersökte resurserna och upptäckte att de utförde det beteende som aviseringen angav.

När du har slutfört undersökningen av aviseringen väljer du en åtgärd för att berätta för Partnercenter vad du har upptäckt. Om du väljer en åtgärd markeras aviseringen Löst. Den åtgärd som du väljer anger orsaken (dvs . orsaksvärdet ) till varför du löser aviseringen.

Resursinformation

Avsnittet Resursinformation innehåller information om de resurser som var inblandade i identifieringen som orsakade aviseringen. I det här exemplet finns det en virtuell dator med namnet badvmtest i resursgruppen med namnet testserver. Värdena Första anslutningstid och Senaste anslutningstid anger när vi först upptäckte att den här resursen kontaktade en känd gruvpool och den senaste gången vi observerade den.

Ytterligare information

Avsnittet Ytterligare information innehåller information om det beteende som resursen uppvisar, om det finns några tillgängliga. I det här exemplet kommunicerade den virtuella datorn badvmtest med IP-adressen för en känd gruvpool. Avsnittet Resursinformation visar att den är ansluten till IP-adressen fyra gånger mellan första anslutningstiden och senaste anslutningstid.

Resurser

I avsnittet Resurser använder du länkarna för att lära dig mer om aviseringar och vad du ska göra när du får en avisering.

Nedre delen

Längst ned på sidan med aviseringsinformation visas tre knappar för åtgärder som du kan vidta.

Skärmbild som visar längst ned i en säkerhetsavisering med alternativ för att avbryta en prenumeration, hantera en prenumeration eller gå tillbaka till aviseringar.

  • Avbryt prenumerationen: Du måste ha både rollen Global administratör och administratörsagent för att kunna använda den här åtgärden. Om din undersökning av aviseringen visar att en obehörig part övertog Azure-prenumerationen kan du välja Avbryt prenumeration för att frigöra alla resurser i Azure-prenumerationen och markera alla data i prenumerationen för borttagning efter kvarhållningsperioden.

    Innan du vidtar den här åtgärden rekommenderar vi att du kommunicerar med kunden om aviseringen och (om möjligt) får deras medgivande att avbryta prenumerationen. När du väljer knappen visas en dialogruta och du uppmanas att bekräfta att du förstår effekten av den här åtgärden.

    Skärmbild som visar dialogrutan för att avbryta en prenumeration, med alternativ för att gå tillbaka och fortsätta med annullering.

    Om du vill avbryta Azure-prenumerationen väljer du Fortsätt med annullering. När du väljer Fortsätt med annullering avbryts prenumerationen och alla aviseringar för den prenumerationen har markerats som Lösta med orsaken Bedrägeri.

    Mer information finns i Avbryt en Azure-prenumeration.

  • Hantera prenumeration: Den här åtgärden tar dig till Azure-portalen med hjälp av Admin för (AOBO). Baserat på den åtkomstnivå som kunden har beviljat dig kanske du kan undersöka resurserna som anges i aviseringsinformationen ytterligare. Mer information finns i Hantera prenumerationer och resurser under Azure-planen.

  • Tillbaka till aviseringar: Den här åtgärden returnerar dig till instrumentpanelen säkerhetsaviseringar med listan över aviseringar.

Åtgärder på instrumentpanelen för säkerhetsaviseringar

Ovanför aviseringslistan på instrumentpanelen för säkerhetsaviseringar finns två åtgärder som du kan vidta.

Skärmbild som visar instrumentpanelen säkerhetsaviseringar och alternativen för att avbryta en prenumeration och exportera information.

  • Avbryt prenumerationen: Du måste ha både rollen Global administratör och administratörsagent för att kunna använda den här åtgärden. Om din undersökning av aviseringen visar att en obehörig part övertog Azure-prenumerationen kan du välja Avbryt prenumeration för att frigöra alla resurser i Azure-prenumerationen och markera alla data i prenumerationen för borttagning efter kvarhållningsperioden.

    Innan du vidtar den här åtgärden rekommenderar vi att du kommunicerar med kunden om aviseringen och (om möjligt) får deras medgivande att avbryta prenumerationen. När du väljer knappen visas en dialogruta och du uppmanas att bekräfta att du förstår effekten av den här åtgärden.

    Om du vill avbryta Azure-prenumerationen väljer du Fortsätt med annullering.

    Skärmbild som visar bekräftelsedialogrutan för att avbryta en prenumeration.

  • Exportera: Om du vill exportera all detaljerad information om aviseringarna kan du använda åtgärden Exportera för att ladda ned en CSV-fil (kommaavgränsat värde) som innehåller aviseringsinformationen.

    Den här åtgärden genererar en CSV-fil med endast de aviseringar som du för närvarande visar. Om du vill justera aviseringarna som du vill exportera använder du alternativet Filter .

Relaterat innehåll