Dela via

Svara på säkerhetshändelser med instrumentpanelen för säkerhetsaviseringar

  • Artikel

Lämpliga roller: Administratörsagent

Gäller för: Direktfakturering i Partnercenter och indirekta leverantörer

Instrumentpanelen Säkerhetsaviseringar i Partnercenter hjälper partner att snabbt reagera på säkerhet, bedrägeri och andra händelser som inträffar i partnercentret eller kundens klientorganisation.

API

För partner som har flera Microsoft Entra-klientorganisationer i Partnercenter kan du använda följande API:er för att hämta och uppdatera aviseringar i stället för att använda instrumentpanelen Aviseringar:

Förutsättningar

Om du vill använda instrumentpanelen Säkerhetsaviseringar i Partnercenter måste ditt användarkonto tilldelas rollen Administratörsagent.

Vikten av snabbt svar på aviseringar

När en avisering skapas på instrumentpanelen är det viktigt att du sorterar och minimerar incidenten som orsakade aviseringen så snart som möjligt. Som en vägledande princip rekommenderar vi att du svarar på aviseringar inom en timme. Ju längre tid det tar att svara på och minimera incidenten som orsakade aviseringen, desto större ekonomiska konsekvenser kan eventuellt uppstå.

Så här kommer du åt instrumentpanelen för Säkerhetsaviseringar i Partnercenter:

  1. Logga in på Partnercenter med en användare med rollen Administratörsagent .
  2. Välj arbetsytan Insikter.
  3. Välj Aviseringar under Säkerhetden vänstra navigeringsmenyn.

Visa aviseringar

Sidan Aviseringar visar följande:

  • Nya aviseringar den här veckan – Antal nya aviseringar för de senaste sju dagarna.
  • Löst – Antal aviseringar som har lösts med en angiven orsak (till exempel Legitimt eller Bedrägeri).
  • Aktiv och pågår – Antal olösta aviseringar som behöver åtgärdas.

Skärmbild som visar skärmen Partnercenter-aviseringar, inklusive genomsnittlig svarstid, nya aviseringar den här veckan, löst och Aktiv och Pågår.

I det nedre avsnittet på aviseringssidan visas aviseringar som påverkar partnercenterklientorganisationen som du är inloggad på.

Skärmbild som visar sidan Aviseringar och åtgärder som du kan vidta, inklusive Avbryt prenumeration och Exportera.

  • Aviseringsnamn – Det här namnet visar information på hög nivå om vad som har identifierats.
  • Prenumerations-ID – Den här identifieraren visas när en avisering identifieras i en specifik Azure-prenumeration.
  • Aviserings-ID – den unika identifieraren för aviseringen.
  • Aviseringsstatus – status för aviseringen (aktiv eller löst).
  • Observerades först – första gången aviseringen visades.
  • Senast observerad – Den senaste gången aviseringen visades.
  • Aviseringstyp – den typ av aktivitet som identifierades och orsakade aviseringen. Det finns två aviseringstyper:
    • Azure-meddelanden – Den här aviseringen anger att ett meddelande skickades till kunden i den berörda Azure-prenumerationen och visades som ett Service Health-meddelande . En kopia av det här meddelandet visas i aviseringsinformationen.
    • Azure-användning – Den här varningen anger antingen en ovanlig ökning av aktiviteten i Azure-prenumerationen eller en avvikande aktivitet som inträffar i prenumerationen, till exempel utvinning av kryptovaluta.
  • Allvarlighetsgrad – anger hur brådskande det är som ska vidtas när du svarar på aviseringen.

Med alternativet Filter kan du ändra vilka aviseringar som visas på sidan Avisering.

Med sökfunktionen kan du söka i alla aviseringar efter den information du anger i sökfältet och öppna sidan Avisering . Följande fält genomsöks:

  • Prenumerations-ID
  • Aviserings-ID
  • Kundnamn

Åtgärder på sidan Aviseringsinformation

Exempel på sidan Aviseringsinformation :

Om du vill se mer information om en avisering väljer du aviseringsnamnet. I följande exempelavisering visas till exempel beteende som rör utvinning av kryptovalutor som inträffar i en Azure-prenumeration.

Skärmbild som visar aviseringsinformation som rör utvinning av kryptovalutor.

Överst på sidan Aviseringsinformation visas kundinformation och återförsäljare (om tillämpligt).

Aviseringsbeskrivningen ger en översikt över varför aviseringen inträffade tillsammans med steg för att undersöka.

Avsnittet Påverkade resurser visar följande information:

  • Resursinformation – Information om de resurser som var inblandade i identifieringen som orsakade aviseringen. I det här exemplet finns det en virtuell dator med namnet "badvmtest" i resursgruppen "testserver". Den första anslutningstiden och senaste anslutningstiden anger när vi först upptäckte att den här resursen kontaktade en känd gruvpool och den senaste gången den observerades.

  • Ytterligare information – Om det finns information om det beteende som resursen uppvisar visas de här. I det här exemplet kommunicerade den virtuella datorn "badvmtest" med IP-adressen för en känd gruvpool. Avsnittet Resursinformation visar den ansluten till IP-adressen fyra gånger mellan den första anslutningstiden och senaste anslutningstid.

  • Åtgärdsfält – När du har slutfört undersökningen av aviseringen väljer du en åtgärd för att berätta för Partnercenter vad du har upptäckt. Om du väljer en åtgärd markeras aviseringen Löst. Den åtgärd du väljer anger orsaken till att du löser aviseringen. Alternativen som anges är:

    • Markera som legitim – Du undersökte resurserna och hittade antingen inga bevis för vad aviseringen angav eller vid kontroll med kunden, de anger att beteendet är förväntat.
    • Markera som bedrägeri – Du undersökte resurserna och upptäckte att de utförde det beteende som anges av aviseringen.

  • Resurser – Använd länkarna i det här avsnittet av aviseringen för att lära dig mer om aviseringar och vad du ska göra när du får en avisering.

    Skärmbild som visar ett exempel på en avisering, där alternativen inkluderar Markera som legitim eller Markera som bedrägeri.

  • Resurser – Läs mer om aviseringar och vad du ska göra när du får en avisering.

Välj en avisering för att öppna sidan Aviseringsinformation .

Åtgärder på sidan Aviseringsinformation

Exempel på sidan Aviseringsinformation :

Skärmbild som visar längst ned i en säkerhetsavisering med alternativ för att avbryta prenumeration, hantera prenumeration eller Tillbaka till aviseringar.

På sidan Aviseringsinformation visas tre åtgärder som du kan vidta.

  • Avbryt prenumeration – Du måste ha både rollen Global administratör och administratörsagent för att kunna använda den här åtgärden. Om din undersökning av aviseringen visar att Azure-prenumerationen har gått om av en obehörig part kan du välja Avbryt prenumeration för att frigöra alla resurser i Azure-prenumerationen och markera alla data i prenumerationen för borttagning efter kvarhållningsperioden. Innan du vidtar den här åtgärden rekommenderar vi att du kommunicerar med kunden om aviseringen och, om möjligt, får deras medgivande att avbryta prenumerationen. När du väljer den här knappen visas följande bekräftelsesida för att se till att du förstår effekten av den här åtgärden. Välj Fortsätt med annullering för att avbryta Azure-prenumerationen. När du väljer Fortsätt med annullering avbryts prenumerationen och alla aviseringar för den prenumerationen har markerats som Lösta med orsaken Bedrägeri.

    Skärmbild som visar dialogrutan Avbryt prenumeration med alternativ: Gå tillbaka och Fortsätt med annullering.

    Mer information finns i Avbryt en Azure-prenumeration.

  • Hantera prenumeration – Åtgärden Hantera prenumeration tar dig till Azure Management-portalen med hjälp av Administratör på uppdrag av. Baserat på den åtkomstnivå som kunden har beviljat dig kanske du kan undersöka de resurser som anges i aviseringsinformationen ytterligare. Mer information finns i Hantera prenumerationer och resurser under Azure-planen.

  • Tillbaka till aviseringar – Returnerar dig till huvudsidan för aviseringsinstrumentpanelen med listan över aviseringar.

Åtgärder på sidan Avisering

Ovanför aviseringslistan på sidan Avisering finns två åtgärder som du kan vidta.

Skärmbild som visar sidan Aviseringar och åtgärder som du kan vidta, inklusive Avbryt prenumeration och Exportera.

  • Avbryt prenumeration – Du måste ha både rollen Global administratör och administratörsagent för att kunna använda den här åtgärden. Om din undersökning av aviseringen visar att Azure-prenumerationen har gått om av en obehörig part kan du välja Avbryt prenumeration för att frigöra alla resurser i Azure-prenumerationen och markera alla data i prenumerationen för borttagning efter kvarhållningsperioden. Innan du vidtar den här åtgärden rekommenderar vi att du kommunicerar med kunden om aviseringen och, om möjligt, får deras medgivande att avbryta prenumerationen. När du har valt den här knappen visas följande bekräftelsesida för att se till att du förstår effekten av den här åtgärden. Välj Fortsätt med annullering för att avbryta Azure-prenumerationen.

    Skärmbild som visar sidan Avbryt prenumeration med alternativ för Att gå tillbaka eller Fortsätt med annullering.

  • Exportera – Om du vill exportera all detaljerad information om aviseringarna kan du använda åtgärden Exportera för att ladda ned en CSV-fil (kommaavgränsat värde) som innehåller aviseringsinformationen. Obs! Export genererar en CSV-fil med endast de aviseringar som visas för närvarande. Justera alternativet Filter för att visa den avisering som du vill exportera.

Nästa steg

Identifiering och meddelande om Azure-bedrägeri