通过

使用安全警报仪表板响应安全事件

  • 项目

适当的角色:管理员代理

适用于:合作伙伴中心直接计费合作伙伴和间接提供商

合作伙伴中心 安全警报 仪表板可帮助你快速响应合作伙伴中心或客户租户中发生的安全、欺诈和其他事件。

API

如果合作伙伴中心有多个Microsoft Entra 租户,则可以使用以下 API 获取和更新警报,而不是使用 安全警报 仪表板:

先决条件

若要使用合作伙伴中心 安全警报 仪表板,必须为用户帐户分配管理员代理角色。

及时响应警报的重要性

在仪表板中创建警报时,必须对事件进行会审并尽快缓解导致警报的事件。 作为指导原则,我们建议在一小时内响应警报。 对于欺诈类型的警报,响应和缓解导致警报的事件所花费的时间越长,潜在财务影响就越大。

打开仪表板

若要打开合作伙伴中心 安全警报 仪表板,请执行以下操作:

  1. 以具有管理员代理角色的用户身份登录到合作伙伴中心。
  2. 选择 Insights 工作区。
  3. 在左侧菜单中的“安全性”下,选择“警报”。

还可以使用此 链接 直接转到仪表板。

查看警报

仪表板显示有关以下警报类别的信息。

显示合作伙伴中心安全警报仪表板的屏幕截图,包括平均响应时间、本周的新事件、已解决和未解决的事件。

  • 平均时间:过去 30 天内响应和解决警报的平均时间。
  • 本周的新事件:过去七天的新警报数。
  • 解决:通过指定的原因(例如 合法欺诈)解决的警报数。
  • 未解决:需要注意的未解决警报的数量。

仪表板的下半部分列出了影响登录的合作伙伴中心租户的警报。

显示安全警报仪表板和可执行的操作的屏幕截图,包括“取消订阅”和“导出”。

该表包含以下列:

  • 警报名称:有关检测到的内容的高级信息。
  • 订阅 ID:在特定 Azure 订阅中检测到警报时出现的标识符。
  • 警报 ID:警报的唯一标识符。
  • 警报状态:警报的状态(活动解决)。
  • 第一次观察到:第一次出现警报。
  • 上次观察到:警报出现的最新时间。
  • 警报类型:检测到并导致警报的活动的类型。 有两种警报类型:
    • Azure 通知:指示已将消息发送到受影响的 Azure 订阅的客户,并显示为 服务运行状况 通知。 此消息的副本将显示在警报详细信息中。
    • Azure 使用情况:指示 Azure 订阅中的活动异常增加或订阅中发生的异常活动,例如加密货币挖掘。
  • 严重性:响应警报的紧迫性级别。

可以使用“筛选器”选项更改警报仪表板上显示哪些警报。

可以使用 搜索 功能搜索框中输入的信息的所有警报。 搜索结果包括以下信息:

  • 订阅 ID
  • 警报 ID
  • 客户名称

警报详细信息页上的操作

若要显示有关警报的更多详细信息,请选择警报名称。 例如,以下示例警报显示与 Azure 订阅中发生的加密货币挖掘相关的行为。

显示与加密货币挖掘相关的警报详细信息的屏幕截图。

顶部部分

警报详细信息页面顶部显示客户和经销商(如果适用)信息。

警报说明

警报说明 ”部分概述了警报发生的原因以及要调查的步骤。

受影响的资源

受影响的资源 ”部分包含两个操作:

  • 标记为合法:你调查了这些资源,也没有找到警报指示或向客户验证行为是否预期的证据。
  • 标记为欺诈:你调查了资源,发现它们正在执行警报指示的行为。

完成对警报的调查后,请选择一项操作,告知合作伙伴中心所发现的内容。 选择操作将标记警报 解决。 选择的操作指示解决警报的原因(即 原因 值)。

资源信息

资源信息 ”部分提供有关导致警报的检测中涉及的资源的详细信息。 在此示例中,资源组中有一个名为 badvmtest 的虚拟机,名为 testerver。 第一次连接时间和上次连接时间值指示我们首次检测到此资源与已知的挖掘池以及我们观察到该资源的最新时间。

其他信息

其他信息 ”部分提供有关资源显示的行为的详细信息(如果有)。 在此示例中,虚拟机 badvmtest 与已知挖掘池的 IP 地址通信。 “资源信息”部分显示,它在“首次连接时间”和“上次连接时间”之间四次连接到 IP 地址。

资源

在“资源”部分中,使用链接了解有关警报的详细信息,以及收到警报时要执行的操作。

底部部分

警报详细信息页底部显示可执行的操作的三个按钮。

显示安全警报底部的屏幕截图,其中包含取消订阅、管理订阅或返回到警报的选项。

  • 取消订阅:必须同时具有全局管理员和管理员代理角色才能使用此操作。 如果对警报的调查表明未经授权的一方超过 Azure 订阅,可以选择“ 取消”订阅 以解除分配 Azure 订阅中的所有资源,并在保留期后标记订阅中的所有数据以供删除。

    在执行此操作之前,建议与客户就警报进行沟通,并(如果可能)同意取消订阅。 选择该按钮时,将显示一个对话框,并要求你确认你了解此操作的影响。

    显示取消订阅的对话框的屏幕截图,其中提供了返回并继续取消的选项。

    若要取消 Azure 订阅,请选择“ 继续取消”。 选择“继续取消”时,将取消订阅,并且该订阅的所有警报都标记为“已解决”,原因为“欺诈”。

    有关详细信息,请参阅 “取消 Azure 订阅”。

  • 管理订阅:此操作使用管理员代表 (AOBO) 转到Azure 门户。 根据客户授予你的访问权限级别,可以进一步调查警报详细信息中指示的资源。 有关详细信息,请参阅 Azure 计划下的“管理订阅和资源”。

  • 返回警报:此操作返回安全警报仪表板,其中包含警报列表。

安全警报仪表板上的操作

安全警报仪表板上的警报列表上方是可以采取的两项操作。

显示安全警报仪表板和取消订阅和导出信息的选项的屏幕截图。

  • 取消订阅:必须同时具有全局管理员和管理员代理角色才能使用此操作。 如果对警报的调查表明未经授权的一方超过 Azure 订阅,可以选择“ 取消”订阅 以解除分配 Azure 订阅中的所有资源,并在保留期后标记订阅中的所有数据以供删除。

    在执行此操作之前,建议与客户就警报进行沟通,并(如果可能)同意取消订阅。 选择该按钮时,将显示一个对话框,并要求你确认你了解此操作的影响。

    若要 取消 Azure 订阅,请选择“ 继续取消”。

    显示用于取消订阅的确认对话框的屏幕截图。

  • 导出:如果要导出有关警报的所有详细信息,可以使用 “导出 ”操作下载包含警报信息的逗号分隔值(CSV)文件。

    此操作将生成一个 CSV 文件,其中包含当前正在查看的警报。 若要调整要导出的警报,请使用 “筛选器” 选项。

相关内容