检测并响应安全警报
相应的角色:管理员代理
适用于:合作伙伴中心直接帐单和间接提供商
可以订阅新的安全警报,以检测与未经授权的方滥用和帐户接管相关的检测。 此安全警报是Microsoft提供保护客户租户所需的数据的多种方式之一。 可以订阅新的安全警报,以检测与未经授权的方滥用和帐户接管相关的检测。 此安全警报是Microsoft提供保护客户租户所需的数据的多种方式之一。
重要
作为 云解决方案提供商 (CSP) 计划的合作伙伴,你负责客户的 Azure 消耗,因此请务必了解客户 Azure 订阅中的任何异常使用情况。 使用 Microsoft Azure 安全警报来检测 Azure 资源中的欺诈活动和滥用模式,以帮助降低对联机交易风险的暴露。 Microsoft Azure 安全警报不会检测所有类型的欺诈活动或滥用行为,因此,必须使用其他监视方法来帮助检测客户的 Azure 订阅中的异常使用情况。 若要了解详细信息,请参阅 管理非付款、欺诈或滥用 和管理 客户帐户。
必需操作: 通过监视和信号感知,可以立即采取措施来确定行为是合法行为还是欺诈行为。 如有必要,可以暂停受影响的 Azure 资源 或 Azure 订阅 以缓解问题。
确保 合作伙伴管理员代理 的首选电子邮件地址是最新的,以便可以通知他们以及安全联系人。
订阅安全警报通知
可以根据角色订阅各种合作伙伴通知。
当客户的 Azure 订阅显示可能的异常活动时,安全警报会通知你。
通过电子邮件获取警报
- 登录到合作伙伴中心并选择“通知”(钟声)。
- 选择“我的首选项”。
- 设置首选电子邮件地址(如果尚未这样做)。
- 设置通知的首选语言(如果尚未这样做)。
- 选择电子邮件通知首选项旁边的“编辑”。
- 选中与“工作区”列中的“客户”相关的所有框。 (若要取消订阅,请取消选择客户工作区下的事务部分。
- 选择“保存”。
当我们检测到某些客户Microsoft Azure 订阅中可能存在的安全警报活动或滥用时,我们会发送安全警报。 有三种类型的电子邮件:
- 未解决的安全警报 的每日摘要(受各种警报类型影响的合作伙伴、客户和订阅计数)
- 准实时安全警报。 若要获取具有潜在安全问题的 Azure 订阅列表,请参阅 “获取欺诈事件”。
- 准实时安全公告通知。 这些通知提供安全警报时发送给客户的通知的可见性。
云解决方案提供商(CSP)直接计费合作伙伴可以查看有关活动的更多警报,例如:异常计算使用情况、加密挖掘、Azure 机器学习使用情况和服务运行状况咨询通知。 云解决方案提供商(CSP)直接计费合作伙伴可以查看有关活动的更多警报,例如:异常计算使用情况、加密挖掘、Azure 机器学习使用情况和服务运行状况咨询通知。
通过 Webhook 获取警报
合作伙伴可以注册到 Webhook 事件: azure-fraud-event-detected 接收资源更改事件的警报。 若要了解详细信息,请参阅 合作伙伴中心 Webhook 事件。
通过安全警报仪表板查看和响应警报
CSP 合作伙伴可以访问合作伙伴中心 安全警报仪表板 来检测和响应警报。 若要了解详细信息,请参阅 使用合作伙伴中心安全警报仪表板响应安全事件。 CSP 合作伙伴可以访问合作伙伴中心 安全警报仪表板 来检测和响应警报。 若要了解详细信息,请参阅 使用合作伙伴中心安全警报仪表板响应安全事件。
通过 API 获取警报详细信息
使用新的Microsoft图形安全警报 API (Beta)
优点:从 2024 年 5 月开始,可以使用 Microsoft Graph 安全警报 API 的预览版。 此 API 提供跨其他Microsoft 服务(如 Microsoft Entra ID、Teams 和 Outlook)的统一 API 网关体验。
载入要求:加入的 CSP 合作伙伴需要使用新的安全警报 Beta API。 若要了解详细信息,请参阅 Microsoft Graph 中使用合作伙伴安全警报 API。
Microsoft图形安全警报 API V1 版本将于 2024 年 7 月发布。
| 用例 | API |
|---|---|
| 载入到 Microsoft 图形 API 以获取访问令牌 | 以用户身份获取访问权限 |
| 列出安全警报以获取警报的可见性 | 列出 securityAlerts |
| 获取安全警报,以便根据所选的查询参数查看特定警报。 | 获取 partnerSecurityAlert |
| 获取令牌以调用合作伙伴中心 API 以获取参考信息 | 启用安全应用程序模型 |
| 获取组织配置文件信息 | 获取组织资料 |
| 按 ID 获取客户信息 | 根据 ID 获取客户 |
| 按 ID 获取客户的间接经销商信息 | 获取客户的间接经销商 |
| 按 ID 获取客户的订阅信息 | 根据 ID 获取订阅 |
| 更新警报状态并在缓解时解决 | 更新 partnerSecurityAlert |
支持现有的 FraudEvents API
重要
旧欺诈事件 API 将在 CY Q4 2024 中弃用。 有关更多详细信息,请查看每月合作伙伴中心安全公告。 CSP 合作伙伴应迁移到新的 Microsoft Graph 安全警报 API,该 API 现已提供预览版。
在过渡期间,CSP 合作伙伴可以使用 FraudEvents API 通过 X-NewEventsModel 获取额外的检测信号。 使用此模型,可以获取将新类型的警报添加到系统,例如异常计算使用情况、加密挖掘、Azure 机器学习使用情况和服务运行状况咨询通知。 可以使用有限的通知添加新类型的警报,因为威胁也在不断演变。 如果通过 API 对不同的警报类型使用特殊处理,请监视这些 API 以获取更改:
收到安全警报通知时该怎么办
以下清单提供了有关收到安全通知时要执行的操作的建议后续步骤。
- 检查以确保电子邮件通知有效。 当我们发送安全警报时,它们将从 azure Microsoft 发送,电子邮件地址为:
no-reply@microsoft.com合作伙伴仅接收来自Microsoft的通知。 - 收到通知后,还可以在操作中心门户中看到电子邮件警报。 选择钟形图标以查看操作中心警报。
- 查看 Azure 订阅。 确定订阅中的活动是否合法且预期,或者该活动是否是由于未经授权的滥用或欺诈造成的。
- 通过安全警报仪表板或 API 告知你找到的内容。 若要了解有关使用 API 的详细信息,请参阅 更新欺诈事件状态。 使用以下类别描述你找到的内容:
- 合法 - 活动预期或误报信号。
- 欺诈 - 活动是由于未经授权的滥用或欺诈造成的。
- 忽略 - 活动是较旧的警报,应忽略。 若要了解详细信息,请参阅 为什么合作伙伴收到较旧的安全警报?。
可以采取哪些其他步骤来降低泄露风险?
- 在客户和合作伙伴租户上启用多重身份验证(MFA)。 有权管理客户的 Azure 订阅的帐户需要符合 MFA。 若要了解详细信息,请参阅云解决方案提供商安全最佳做法和客户安全最佳做法。
- 设置警报以监视对客户的 Azure 订阅的 Azure 基于角色的访问控制(RBAC)访问权限。 若要了解详细信息,请参阅 Azure 计划 - 管理订阅和资源。
- 审核客户 Azure 订阅的权限更改。 查看 Azure 订阅相关活动的 Azure Monitor 活动日志 。
- 根据 Azure 成本管理中的支出预算查看支出异常。
- 培训客户并与客户合作,以减少未使用的配额,以防止 Azure 订阅上允许的损坏: 配额概述 - Azure 配额。
- 提交管理 Azure 配额的请求:如何创建Azure 支持请求 - Azure 支持性
- 查看当前配额使用情况: Azure 配额 REST API 参考
- 如果运行的是需要高容量的关键工作负荷,请考虑 按需容量预留 或 Azure 虚拟机预留实例
如果 Azure 订阅遭到入侵,该怎么办?
立即采取措施保护帐户和数据。 下面是一些快速响应的建议和提示,并包含一个潜在的事件,以减少其影响和整体业务风险。
修正云环境中泄露的标识 对于确保基于云的系统的整体安全性至关重要。 泄露的标识可以向攻击者提供对敏感数据和资源的访问权限,因此必须立即采取措施来保护帐户和数据。
立即更改凭据:
- Azure 订阅 上的租户管理员和 RBAC 访问什么是 Azure 基于角色的访问控制(Azure RBAC)?
- 按照密码指南操作。 密码策略建议
- 确保所有租户管理员和 RBAC 所有者都 已注册并强制实施 MFA
查看并验证Microsoft Entra ID 中的所有管理员用户密码恢复电子邮件和电话号码。 如有必要,请更新它们。 密码策略建议
在 Azure 门户中查看哪些用户、租户和订阅存在风险。
- 通过Microsoft Entra ID 查看 Identity Protection 的风险报告来调查风险。 若要了解详细信息,请参阅调查风险Microsoft Entra ID 保护
- 标识保护的许可证要求
- 修正风险并对用户解除阻止
- Microsoft Entra ID 保护的用户体验
查看客户租户上的 Microsoft Entra 登录日志,查看触发安全警报时出现异常的登录模式。
恶意执行组件被逐出后, 清理已泄露的资源。 请密切关注受影响的订阅,确保没有进一步的可疑活动。 最好定期查看日志和审核线索,以确保帐户安全。
- 检查 Azure 活动日志中是否有任何未经授权的活动,例如,对计费的更改、未计费的商业消耗行项的使用情况或配置。
- 根据 Azure 成本管理中的客户支出预算查看支出异常。
- 禁用或删除任何已泄露的资源:
- 识别并逐出威胁参与者: 使用Microsoft和 Azure 安全资源来帮助从系统标识泄露中恢复。
- 检查 Azure 活动日志中任何订阅级别的更改。
- 解除分配并删除未经授权的参与方创建的任何资源。 观看 如何保持 Azure 订阅干净 |Azure 提示和技巧 (视频)
- 可以通过 API(取消 Azure 权利)或通过合作伙伴中心门户取消客户的 Azure 订阅。
- 立即联系Azure 支持并报告事件
- 清理事件后的存储:查找和删除未附加的 Azure 托管磁盘和非托管磁盘 - Azure 虚拟机
防止帐户泄露比从中恢复更容易。 因此,加强安全态势非常重要。
- 查看客户 Azure 订阅上的配额,并提交请求以减少未使用的配额。 有关详细信息,请参阅 “减少配额”。
- 查看并实施云解决方案提供商安全最佳做法。
- 与客户合作,了解和实施 客户安全最佳做法。
- 确保已启用 Defender for Cloud(有一个免费层可用于此服务)。
- 确保已启用 Defender for Cloud(有一个免费层可用于此服务)。
有关详细信息,请参阅文章 支持。
用于监视的更多工具
如何准备最终客户
Microsoft向 Azure 订阅发送通知,这些通知将发送到最终客户。 请与最终客户合作,确保他们可以适当行动,并在其环境中收到各种安全问题的警报:
- 使用 Azure Monitor 或 Azure 成本管理设置使用情况警报。
- 设置 服务运行状况警报 ,以便了解有关安全性和其他相关问题Microsoft的其他通知。
- 请与组织的租户管理员(如果合作伙伴未管理这一点)协作,对租户强制实施增强的安全措施(请参阅以下部分)。
用于保护租户的其他信息
- 查看并实施 Azure 资产的操作安全最佳做法。
- 强制实施 多重身份验证 以增强标识安全态势。
- 为高风险用户和登录实施风险策略和警报:什么是Microsoft Entra ID 保护?。
如果怀疑未经授权使用你的或客户的 Azure 订阅,请与 Microsoft Azure 支持人员联系,以便Microsoft有助于加快任何其他问题或问题。
如果对合作伙伴中心有特定问题,请在合作伙伴中心提交 支持请求 。 有关详细信息: 在合作伙伴中心获取支持。
检查活动日志下的安全通知
- 登录到 合作伙伴中心 ,然后选择右上角的设置(齿轮)图标,然后选择 “帐户设置 ”工作区。
- 导航到 左侧面板中的活动日志 。
- 在 顶部筛选器中设置“发件人 ”和 “到 ”日期。
- 在“按操作类型筛选”中,选择“检测到 Azure 欺诈事件”。 应该能够看到所选时间段内检测到的所有安全警报事件。
为什么合作伙伴会收到较旧的 Azure 安全警报?
自 2021 年 12 月起,Microsoft一直在发送 Azure 欺诈警报。 但是,过去,警报通知仅基于选择加入首选项,合作伙伴必须选择接收通知。 我们更改了此行为。 合作伙伴现在应解决所有已打开的欺诈警报(包括旧警报)。 若要保护客户的安全状况,请遵循云解决方案提供商安全最佳做法。
如果过去 60 天内存在未解决的欺诈警报,Microsoft将发送每日欺诈摘要(这是受影响的合作伙伴、客户和订阅计数)。 如果过去 60 天内存在未解决的欺诈警报,Microsoft将发送每日欺诈摘要(这是受影响的合作伙伴、客户和订阅计数)。
为什么看不到所有警报?
安全警报通知仅限于检测 Azure 中某些异常操作的模式。 安全警报通知不会检测,也不保证检测所有异常行为。 请务必使用其他监视方法来帮助检测客户的 Azure 订阅中的异常使用情况,例如每月 Azure 支出预算。 如果收到重要且为误报的警报,请联系 合作伙伴支持 部门并提供以下信息:
- 合作伙伴租户 ID
- 客户租户 ID
- 订阅 ID
- 资源 ID
- 影响开始和影响结束日期