相应的角色:管理员代理
适用于:合作伙伴中心直接帐单和间接提供商
可以订阅新的安全警报,以检测与未经授权的方滥用和帐户接管相关的检测。 此安全警报是Microsoft提供保护客户租户所需的数据的多种方式之一。 可以订阅新的安全警报,以检测与未经授权的方滥用和帐户接管相关的检测。 此安全警报是Microsoft提供保护客户租户所需的数据的多种方式之一。
重要
作为 云解决方案提供商 (CSP) 计划的合作伙伴,你负责客户的 Azure 消耗,因此请务必了解客户 Azure 订阅中的任何异常使用情况。 使用 Microsoft Azure 安全警报来检测 Azure 资源中的欺诈活动和滥用模式,以帮助降低对联机交易风险的暴露。 Microsoft Azure 安全警报不会检测所有类型的欺诈活动或滥用,因此使用额外的监视方法来帮助检测客户的 Azure 订阅中的异常使用情况至关重要。 有关详细信息,请参阅 管理非付款、欺诈或滥用。
必需操作: 通过监视和信号感知,可以立即采取措施来确定行为是合法行为还是欺诈行为。 如有必要,可以暂停受影响的 Azure 资源 或 Azure 订阅 以缓解问题。
请确保 合作伙伴管理员代理的首选电子邮件地址 是 up-to-date,以便他们能够与安全联系人同时收到通知。
订阅安全警报通知
可以根据角色订阅各种合作伙伴通知。
当客户的 Azure 订阅显示可能的异常活动时,安全警报会通知你。
通过电子邮件获取警报
- 登录到合作伙伴中心并选择“通知”(钟声)。
- 选择“我的首选项”。
- 如果尚未设置电子邮件地址,请设置首选电子邮件地址。
- 如果尚未设置通知,请设置通知的首选语言。
- 选择电子邮件通知首选项旁边的“编辑”。
- 选中与“工作区”列中的“客户”相关的所有框。 (若要取消订阅,请取消选择客户工作区下的事务部分。
- 选择“保存”。
当我们检测到某些客户Microsoft Azure 订阅中可能存在的安全警报活动或滥用时,我们会发送安全警报。 有三种类型的电子邮件:
- 未解决的安全警报 的每日摘要(受各种警报类型影响的合作伙伴、客户和订阅计数)
- 准实时安全警报。 若要获取具有潜在安全问题的 Azure 订阅列表,请参阅 “获取欺诈事件”。
- 准实时安全公告通知。 这些通知提供安全警报时发送给客户的通知的可见性。
云解决方案提供商(CSP)直接计费合作伙伴可以查看有关活动的更多警报,例如:异常计算使用情况、加密挖掘、Azure 机器学习使用情况和服务运行状况咨询通知。 云解决方案提供商(CSP)直接计费合作伙伴可以查看有关活动的更多警报,例如:异常计算使用情况、加密挖掘、Azure 机器学习使用情况和服务运行状况咨询通知。
通过 Webhook 获取警报
合作伙伴可以注册到 Webhook 事件: azure-fraud-event-detected 接收资源更改事件的警报。 有关详细信息,请参阅 合作伙伴中心 Webhook 事件。
通过安全警报仪表板查看和响应警报
CSP 合作伙伴可以访问合作伙伴中心 安全警报仪表板 来检测和响应警报。 有关详细信息,请参阅 使用合作伙伴中心安全警报仪表板响应安全事件。 CSP 合作伙伴可以访问合作伙伴中心 安全警报仪表板 来检测和响应警报。 有关详细信息,请参阅 使用合作伙伴中心安全警报仪表板响应安全事件。
通过 API 获取警报详细信息
可以通过 Microsoft Graph 安全警报 API 获取警报详细信息。
使用新的Microsoft图形安全警报 API (Beta)
优点:从 2024 年 5 月开始,可以使用 Microsoft Graph 安全警报 API 的预览版。 此 API 提供跨其他Microsoft 服务(如 Microsoft Entra ID、Teams 和 Outlook)的统一 API 网关体验。
载入要求:加入的 CSP 合作伙伴需要使用新的安全警报 Beta API。 有关详细信息,请参阅 Microsoft Graph 中使用合作伙伴安全警报 API。
即将推出 Microsoft Graph 安全警报 API V1 版本。
| 用例 | API |
|---|---|
| 载入到 Microsoft 图形 API 以获取访问令牌 | 以用户身份获取访问权限 |
| 列出安全警报以获取警报的可见性 | 列出 securityAlerts |
| 获取安全警报,以便根据所选的查询参数查看特定警报。 | 获取 partnerSecurityAlert |
| 获取令牌以调用合作伙伴中心 API 以获取参考信息 | 启用安全应用程序模型 |
| 获取组织配置文件信息 | 获取组织资料 |
| 按 ID 获取客户信息 | 根据 ID 获取客户 |
| 按 ID 获取客户的间接经销商信息 | 获取客户合作伙伴 |
| 按 ID 获取客户的订阅信息 | 根据 ID 获取订阅 |
| 更新警报状态并在缓解时解决 | 更新 partnerSecurityAlert |
支持现有的 FraudEvents API
重要
旧版欺诈事件 API 将于 2024 年第 4 季度弃用。 有关更多详细信息,请查看每月合作伙伴中心安全公告。 CSP 合作伙伴应迁移到新的 Microsoft Graph 安全警报 API,该 API 现已提供预览版。
在过渡期间,CSP 合作伙伴可以使用 FraudEvents API 通过 X-NewEventsModel 获取额外的检测信号。 使用此模型,可以获取新类型的警报,因为它们被添加到系统中。 例如,可以获取异常的计算使用情况、加密挖掘、Azure 机器学习使用情况和服务运行状况公告通知。 可以使用有限的通知添加新类型的警报,因为威胁也在不断演变。 如果通过 API 对不同的警报类型使用特殊处理,请监视这些 API 以获取更改:
收到安全警报通知时该怎么办
以下清单提供了有关收到安全通知时要执行的操作的建议后续步骤。
- 检查以确保电子邮件通知有效。 当我们发送安全警报时,它们将从 azure Microsoft 发送,电子邮件地址为:
no-reply@microsoft.com合作伙伴仅接收来自Microsoft的通知。 - 收到通知后,还可以在操作中心门户中看到电子邮件警报。 选择钟形图标以查看操作中心警报。
- 查看 Azure 订阅。 确定订阅中的活动是否合法且预期,或者该活动是否是由于未经授权的滥用或欺诈造成的。
- 通过安全警报仪表板或 API 告知你找到的内容。 若要了解有关使用 API 的详细信息,请参阅 更新欺诈事件状态。 使用以下类别描述你找到的内容:
- 合法 - 活动预期或误报信号。
- 欺诈 - 活动是由于未经授权的滥用或欺诈造成的。
- 忽略 - 活动是较旧的警报,应忽略。 有关详细信息,请参阅 为什么合作伙伴接收较旧的安全警报?。
可以采取哪些其他步骤来降低泄露风险?
- 在客户和合作伙伴租户上启用多重身份验证(MFA)。 有权管理客户的 Azure 订阅的帐户需要符合 MFA。 有关详细信息,请参阅 云解决方案提供商安全最佳做法 和 客户安全最佳做法。
- 设置警报以监视对客户的 Azure 订阅的 Azure 基于角色的访问控制(RBAC)访问权限。 有关详细信息,请参阅 Azure 计划 - 管理订阅和资源。
- 审核客户 Azure 订阅的权限更改。 查看 Azure 订阅相关活动的 Azure Monitor 活动日志 。
- 根据 Azure 成本管理中的支出预算查看支出异常。
- 培训客户并与客户合作,以减少未使用的配额,以防止 Azure 订阅上允许的损坏: 配额概述 - Azure 配额。
- 提交管理 Azure 配额的请求:如何创建Azure 支持请求 - Azure 支持性
- 查看当前配额使用情况: Azure 配额 REST API 参考
- 如果运行的是需要高容量的关键工作负荷,请考虑 按需容量预留 或 Azure 虚拟机预留实例
如果 Azure 订阅遭到入侵,该怎么办?
立即采取措施保护帐户和数据。 下面是一些快速响应的建议和提示,并包含一个潜在的事件,以减少其影响和整体业务风险。
修正云环境中泄露的标识 对于确保基于云的系统的整体安全性至关重要。 泄露的标识可以向攻击者提供对敏感数据和资源的访问权限,因此必须立即采取措施来保护帐户和数据。
立即更改凭据:
- Azure 订阅 上的租户管理员和 RBAC 访问什么是 Azure 基于角色的访问控制(Azure RBAC)?
- 按照密码指南操作。 密码策略建议
- 确保所有租户管理员和 RBAC 所有者都 已注册并强制实施 MFA
查看并验证Microsoft Entra ID 中的所有管理员用户密码恢复电子邮件和电话号码。 如有必要,请更新它们。 密码策略建议
在 Azure 门户中查看哪些用户、租户和订阅存在风险。
- 通过Microsoft Entra ID 查看 Identity Protection 的风险报告来调查风险。 有关详细信息,请参阅 调查风险Microsoft Entra ID Protection
- 标识保护的许可证要求
- 修正风险并对用户解除阻止
- Microsoft Entra ID 保护的用户体验
查看客户租户上的 Microsoft Entra 登录日志,查看触发安全警报时出现异常的登录模式。
恶意执行组件被逐出后, 清理已泄露的资源。 请密切关注受影响的订阅,确保没有进一步的可疑活动。 最好定期查看日志和审核线索,以确保帐户安全。
- 检查 Azure 活动日志中是否有任何未经授权的活动,例如,对计费的更改、未计费的商业消耗行项的使用情况或配置。
- 根据 Azure 成本管理中的客户支出预算查看支出异常。
- 禁用或删除任何已泄露的资源:
- 识别并逐出威胁参与者: 使用Microsoft和 Azure 安全资源来帮助从系统标识泄露中恢复。
- 检查 Azure 活动日志中任何订阅级别的更改。
- 解除分配并删除未经授权的参与方创建的任何资源。 观看 如何保持 Azure 订阅干净 |Azure 提示和技巧 (视频)
- 可以通过 API(取消 Azure 权利)或通过合作伙伴中心门户取消客户的 Azure 订阅。
- 立即联系Azure 支持并报告事件
- 清理事件后的存储:查找和删除未附加的 Azure 托管磁盘和非托管磁盘 - Azure 虚拟机
防止帐户泄露比从中恢复更容易。 因此,加强安全态势非常重要。
- 查看客户 Azure 订阅上的配额,并提交请求以减少未使用的配额。 有关详细信息,请参阅 “减少配额”。
- 查看并实施云解决方案提供商安全最佳做法。
- 与客户合作,了解和实施 客户安全最佳做法。
- 确保已启用 Defender for Cloud(有一个免费层可用于此服务)。
- 确保已启用 Defender for Cloud(有一个免费层可用于此服务)。
有关详细信息,请参阅文章 支持。
用于监视的更多工具
如何准备最终客户
Microsoft向 Azure 订阅发送通知,这些通知将发送到最终客户。 请与最终客户合作,确保他们可以适当行动,并在其环境中收到各种安全问题的警报:
- 使用 Azure Monitor 或 Azure 成本管理设置使用情况警报。
- 设置 服务运行状况警报 ,以便了解有关安全性和其他相关问题Microsoft的其他通知。
- 请与组织的租户管理员(如果未由合作伙伴管理)协作,对租户强制实施增强的安全措施(请参阅以下部分)。
用于保护租户的其他信息
- 查看并实施 Azure 资产的操作安全最佳做法。
- 强制实施 多重身份验证 以增强标识安全态势。
- 为高风险用户和登录实施风险策略和警报:什么是Microsoft Entra ID 保护?。
如果怀疑未经授权使用你的或客户的 Azure 订阅,请与 Microsoft Azure 支持人员联系,以便Microsoft有助于加快任何其他问题或问题。
如果对合作伙伴中心有特定问题,请在合作伙伴中心提交 支持请求 。 有关详细信息: 在合作伙伴中心获取支持。
检查活动日志下的安全通知
- 登录到 合作伙伴中心 ,然后选择右上角的设置(齿轮)图标,然后选择 “帐户设置 ”工作区。
- 导航到 左侧面板中的活动日志 。
- 在 顶部筛选器中设置“发件人 ”和 “到 ”日期。
- 在“按操作类型筛选”中,选择“检测到 Azure 欺诈事件”。 应该能够看到所选时间段内检测到的所有安全警报事件。
为什么合作伙伴会收到较旧的 Azure 安全警报?
自 2021 年 12 月起,Microsoft一直在发送 Azure 欺诈警报。 但是,过去,警报通知仅基于选择加入首选项,合作伙伴必须选择接收通知。 我们更改了此行为。 合作伙伴现在应解决所有已打开的欺诈警报(包括旧警报)。 若要保护客户的安全状况,请遵循云解决方案提供商安全最佳做法。
如果过去 60 天内存在活动未解决的欺诈警报,Microsoft 将发送每日欺诈总结,其中包括受影响的合作伙伴、客户和订阅的数量。 如果过去 60 天内存在活动未解决的欺诈警报,Microsoft 将发送每日欺诈总结,其中包括受影响的合作伙伴、客户和订阅的数量。
为什么看不到所有警报?
安全警报通知仅限于检测 Azure 中某些异常操作的模式。 安全警报通知不会检测,也不保证检测所有异常行为。 请务必使用其他监视方法来帮助检测客户的 Azure 订阅中的异常使用情况,例如每月 Azure 支出预算。 如果收到重要且为误报的警报,请联系 合作伙伴支持 部门并提供以下信息:
- 合作伙伴租户 ID
- 客户租户 ID
- 订阅 ID
- 资源 ID
- 影响开始和影响结束日期