使用安全性警示儀錶板回應安全性事件
適當的角色:管理員 代理程式
適用於:合作夥伴中心直接帳單和間接提供者
合作夥伴中心 安全性警示 儀錶板可協助合作夥伴快速響應合作夥伴中心或其客戶租用戶中發生的安全性、詐騙和其他事件。
API
對於擁有多個合作夥伴中心 Microsoft Entra 租使用者的合作夥伴,您可以使用下列 API 來取得和更新警示,而不是使用警示儀錶板:
必要條件
若要使用合作夥伴中心安全性警示儀錶板,您的用戶帳戶必須獲指派 管理員 代理程式角色。
及時回應警示的重要性
當您的儀錶板中建立警示時,請務必分類並減輕造成警示的事件。 作為指導原則,建議您在一小時內回應警示。 對於 詐騙 類型警示,響應和減輕造成警示的事件所花費的時間越長,可能會產生更多的財務影響。
流覽至警示儀錶板
若要存取 合作夥伴中心安全性警示儀錶板:
- 使用具有 管理員 代理程式角色的使用者登入合作夥伴中心。
- 選取 [ 深入解析 ] 工作區。
- 在左側導覽功能表上的 [安全性] 底下,選取 [警示]。
檢視警示
[ 警示] 頁面會顯示下列內容:
- 本周 的新警示 - 過去七天的新警示數目。
- 已解決 - 以指定原因解決的警示數目(例如,合法或詐騙)。
- 作用中和進行 中 - 需要注意的未解決警示數目。
警示頁面的下一節會列出影響您登入合作夥伴中心租使用者的警示。
![顯示 [警示] 頁面的螢幕快照,以及您可以採取的動作,包括取消訂用帳戶和匯出。](../media/security/security-alert-actions.png)
- 警示名稱 - 此名稱會顯示有關偵測到之專案的高階資訊。
- 訂用帳戶標識碼 - 在特定 Azure 訂用帳戶中偵測到警示時,會顯示此標識符。
- 警示標識碼 - 警示的唯一標識碼。
- 警示狀態 - 警示的狀態(作用 中或 已解決)。
- 第一次觀察到 - 第一次顯示警示。
- 上次觀察到 - 顯示警示的最近時間。
- 警示類型 - 偵測到並造成警示的活動類型。 有兩種警示類型:
- Azure 通知 - 此警示指出訊息已傳送給受影響的 Azure 訂用帳戶的客戶,並顯示為 服務健康情況 通知。 此訊息的復本會顯示在警示詳細數據中。
- Azure 使用量 - 此警示表示 Azure 訂用帳戶中的活動異常增加,或訂用帳戶中發生的異常活動,例如加密貨幣採礦。
- 嚴重性 - 指出回應警示時應採取的緊急程度。
[ 篩選] 選項可讓您變更 [警示] 頁面上顯示哪些警示。
搜尋 可讓您搜尋所有警示,以取得您在搜尋欄位中輸入的資訊,並開啟 [ 警示] 頁面。 搜尋下列欄位:
- 訂用帳戶識別碼
- 警示標識碼
- 客戶名稱
[警示詳細數據] 頁面上的動作
[警示詳細數據] 頁面的範例:
若要查看警示的詳細數據,請選取警示名稱。 例如,下列範例警示會顯示與 Azure 訂用帳戶中發生加密採礦相關的行為。
在 [警示詳細數據] 頁面頂端,會顯示客戶資訊和轉銷商(如果適用的話)。
警示 描述 提供警示發生原因的概觀,以及調查的步驟。
[ 受影響的資源 ] 區段會顯示下列資訊:
資源資訊 - 有關造成警示之偵測中涉及之資源的詳細數據。 在此範例中,資源群組 「testserver」 中有一個名為 “badvmtest” 的虛擬機。 [ 第一次連接時間 ] 和 [上次連接時間 ] 指出我們第一次偵測到此資源與已知的採礦集區連絡的時間,以及觀察到它最近的時間。
其他資訊 - 如果有資源所展示行為的詳細數據,則會在這裡顯示。 在此範例中,虛擬機 「badvmtest」 會與已知採礦集區的 IP 位址通訊。 [資源資訊] 區段會顯示在 [第一次連接時間] 和 [上次連接時間] 之間四次連線到IP位址。
動作列 - 當您完成警示調查時,請選取動作來告知合作夥伴中心您發現的內容。 選取動作會標示警示 已解決。 您選取的動作會 指出您要解決警示的原因 。 提供的選項包括:
- 標示為合法 - 您已調查資源,且未找到警示所指出或與客戶檢查時,他們指出預期的行為。
- 標示為詐騙 - 您已調查資源,並發現它們正在執行警示所指出的行為。
資源 - 使用警示這一節中的連結,深入瞭解警示,以及收到警示時要執行的動作。
資源 - 深入瞭解警示,以及收到警示時要執行的動作。
選取警示以開啟 [ 警示詳細數據 ] 頁面。
[警示詳細數據] 頁面上的動作
[警示詳細數據] 頁面的範例:
![顯示安全性警示底部的螢幕快照,其中包含 [取消訂用帳戶]、[管理訂用帳戶] 或 [回到警示] 的選項。](../media/security/security-alert-bottom-of-page.png)
範例 [警示詳細數據] 頁面會顯示三個您可以採取的動作。
取消訂用帳戶 - 您必須同時擁有全域 管理員 istrator 和 管理員 Agent 角色,才能使用此動作。 如果您對警示的調查指出 Azure 訂用帳戶已由未經授權的合作物件取代,您可以選取 [取消 訂用帳戶] 來解除分配 Azure 訂用帳戶中的所有資源,並在保留期間之後標示訂用帳戶中的所有數據以進行刪除。 採取此動作之前,建議您與客戶溝通警示,並盡可能同意取消訂用帳戶。 當您選取此按鈕時,您會看到下列確認頁面,以確保您瞭解此動作的影響。 選取 [ 繼續取消 ] 以取消 Azure 訂用帳戶。 當您選取 [繼續取消] 時,訂用帳戶會取消,且該訂用帳戶的所有警示都會標示為 [已 解決],原因 為 [詐騙]。
![顯示 [取消訂用帳戶] 對話框的螢幕快照,其中包含選項:返回並繼續取消。](../media/security/security-cancel-subscription.png)
如需詳細資訊,請參閱 取消 Azure 訂用帳戶。
管理訂用帳戶 - 管理訂用帳戶動作會代表您進入 Azure 管理入口網站 管理員。 根據客戶授與您存取權的層級,您可以進一步調查警示詳細數據中所指出的資源。 如需詳細資訊,請參閱 管理 Azure 方案下的訂用帳戶和資源。
回到警示 - 返回具有警示清單的主要 [警示儀錶板] 頁面。
[警示] 頁面上的動作
在 [警示] 頁面上的警示清單上方是您可以採取的兩個動作。
取消訂用帳戶 - 您必須同時擁有全域 管理員 istrator 和 管理員 Agent 角色,才能使用此動作。 如果您對警示的調查指出 Azure 訂用帳戶已由未經授權的合作物件取代,您可以選取 [取消 訂用帳戶] 來解除分配 Azure 訂用帳戶中的所有資源,並在保留期間之後標示訂用帳戶中的所有數據以進行刪除。 採取此動作之前,建議您與客戶溝通警示,並盡可能同意取消訂用帳戶。 選取此按鈕之後,您會看到下列確認頁面,以協助您瞭解此動作的影響。 選取 [ 繼續取消 ] 以 取消 Azure 訂用帳戶。
匯出 - 如果您想要匯出警示的所有詳細資訊,您可以使用 匯出動作來下載包含警示資訊的 CSV (逗號分隔值)檔案。 注意:導出會產生 CSV 檔案,其中只會檢視目前所檢視的警示。 調整 [ 篩選] 選項以顯示您想要匯出的警示。
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: