Detekce a reakce na výstrahy zabezpečení

Příslušné role: Agent pro správu

Platí pro: Přímé vyúčtování v Partnerském centru a nepřímí poskytovatelé

Můžete se přihlásit k odběru nové výstrahy zabezpečení pro detekce související s neoprávněným zneužitím stran a převzetím účtů. Toto upozornění zabezpečení je jedním z mnoha způsobů, jak Microsoft poskytuje data, která potřebujete k zabezpečení tenantů zákazníka. Můžete se přihlásit k odběru nové výstrahy zabezpečení pro detekce související s neoprávněným zneužitím stran a převzetím účtů. Toto upozornění zabezpečení je jedním z mnoha způsobů, jak Microsoft poskytuje data, která potřebujete k zabezpečení tenantů zákazníka.

Důležité

Jako partner v programu Cloud Solution Provider (CSP) zodpovídáte za spotřebu Azure vašich zákazníků, takže je důležité, abyste věděli o jakémkoli neobvyklém využití v předplatných Azure zákazníka. Pomocí výstrah zabezpečení Microsoft Azure můžete zjišťovat vzory podvodných aktivit a zneužití v prostředcích Azure, abyste snížili riziko online transakcí. Výstrahy zabezpečení Microsoft Azure nezjistí všechny typy podvodných aktivit nebo zneužití, takže je důležité použít další metody monitorování, které vám pomůžou detekovat neobvyklé využití v předplatných Azure zákazníka. Další informace najdete v tématu Správa neplacení, podvodu nebo zneužití a správy zákaznických účtů.

Vyžaduje se akce: Pomocí monitorování a povědomí o signálech můžete okamžitě provést akci, abyste zjistili, jestli je chování legitimní nebo podvodné. V případě potřeby můžete pozastavit ovlivněné prostředky Azure nebo předplatná Azure a zmírnit tak problém.

Ujistěte se, že upřednostňovaná e-mailová adresa pro agenty pro správu partnerů je aktuální, aby je bylo možné informovat spolu s kontakty zabezpečení.

Přihlášení k odběru oznámení výstrah zabezpečení

Na základě své role se můžete přihlásit k odběru různých oznámení partnerů.

Výstrahy zabezpečení vás upozorní, když předplatné Azure zákazníka zobrazuje možné neobvyklé aktivity.

Zasílání upozornění e-mailem

1. Přihlaste se k Partnerskému centru a vyberte Oznámení (zvonek).
2. Vyberte Moje předvolby.
3. Pokud jste to ještě neudělali, nastavte upřednostňovanou e-mailovou adresu.
4. Pokud jste to ještě neudělali, nastavte upřednostňovaný jazyk pro oznámení.
5. Vyberte Upravit vedle předvoleb e-mailových oznámení.
6. Zaškrtněte všechna políčka týkající se zákazníků ve sloupci Pracovní prostor . (Pokud chcete zrušit odběr, zrušte výběr transakčního oddílu v pracovním prostoru zákazníka.)
7. Zvolte Uložit.

Výstrahy zabezpečení odesíláme, když zjistíme možné aktivity výstrah zabezpečení nebo zneužití v některých předplatných Microsoft Azure vašich zákazníků. Existují tři typy e-mailů:

• Denní souhrn nevyřešených výstrah zabezpečení (počet partnerů, zákazníků a předplatných ovlivněných různými typy upozornění)
• Výstrahy zabezpečení téměř v reálném čase Seznam předplatných Azure, která mají potenciální bezpečnostní obavy, najdete v tématu Získání podvodných událostí.
• Oznámení o informačním zpravodaji zabezpečení téměř v reálném čase Tato oznámení poskytují přehled o oznámeních odeslaných zákazníkovi, když se zobrazí výstraha zabezpečení.

Partneři CSP (Cloud Solution Provider) s přímým vyúčtováním můžou zobrazit další výstrahy pro aktivity, například neobvyklé využití výpočetních prostředků, kryptografické dolování, využití služby Azure Machine Learning a oznámení o poradenství pro stav služeb. Partneři CSP (Cloud Solution Provider) s přímým vyúčtováním můžou zobrazit další výstrahy pro aktivity, například neobvyklé využití výpočetních prostředků, kryptografické dolování, využití služby Azure Machine Learning a oznámení o poradenství pro stav služeb.

Získání upozornění prostřednictvím webhooku

Partneři se můžou zaregistrovat k události webhooku: azure-fraud-event-detected příjem upozornění na události změn prostředků. Další informace najdete v tématu Události webhooku Partnerského centra.

Zobrazení výstrah a reakce na ně prostřednictvím řídicího panelu Výstrahy zabezpečení

Partneři CSP mají přístup k řídicímu panelu výstrah zabezpečení v Partnerském centru, aby mohli detekovat výstrahy a reagovat na ně. Další informace najdete v tématu Reakce na události zabezpečení pomocí řídicího panelu Výstrah zabezpečení v Partnerském centru. Partneři CSP mají přístup k řídicímu panelu výstrah zabezpečení v Partnerském centru, aby mohli detekovat výstrahy a reagovat na ně. Další informace najdete v tématu Reakce na události zabezpečení pomocí řídicího panelu Výstrah zabezpečení v Partnerském centru.

Získání podrobností o upozorněních prostřednictvím rozhraní API

Použití nového rozhraní MICROSOFT Graph Security Alerts API (beta verze)

Výhody: Od května 2024 je k dispozici verze Preview rozhraní Microsoft Graph Security Alerts API. Toto rozhraní API poskytuje jednotné prostředí brány rozhraní API v jiných služby Microsoft, jako je ID Microsoft Entra, Teams a Outlook.

Požadavky na onboarding: Partneři CSP, kteří se připojují, musí používat nové rozhraní API pro beta verze výstrah zabezpečení. Další informace najdete v tématu Použití rozhraní API pro výstrahy zabezpečení partnera v Microsoft Graphu.

Verze rozhraní MICROSOFT Graph Security Alerts API V1 bude vydána v červenci 2024.

Případ použití	Rozhraní API
Připojení k rozhraní Microsoft Graph API pro získání přístupového tokenu	Získání přístupu jménem uživatele
Zobrazení seznamu výstrah zabezpečení pro získání přehledu o výstrahách	Výpis zabezpečeníAlerts
Získejte výstrahy zabezpečení, abyste získali přehled o konkrétním upozornění na základě vybraného parametru dotazu.	Získání partnerSecurityAlert
Získání tokenu pro volání rozhraní API Partnerského centra pro referenční informace	Povolení zabezpečeného aplikačního modelu
Získání informací o profilu organizace	Získání profilu organizace
Získání informací o zákazníci podle ID	Získání zákazníka podle ID
Získání informací o nepřímých prodejcích zákazníka podle ID	Získat partnery zákazníka
Získání informací o předplatném zákazníka podle ID	Získání předplatného podle ID
Aktualizace stavu upozornění a řešení v případě zmírnění problému	Aktualizace partnerSecurityAlert

Podpora stávajícího rozhraní API Pro podvody

Důležité

Rozhraní API starších událostí podvodu bude v CY 4. čtvrtletí 2024 zastaralé. Další podrobnosti najdete v měsíčních oznámeních zabezpečení v Partnerském centru. Partneři CSP by měli migrovat na nové rozhraní MICROSOFT Graph Security Alerts API, které je teď dostupné ve verzi Preview.

Během přechodného období můžou partneři CSP dál používat rozhraní API Pro podvody k získání dalších signálů detekce pomocí X-NewEventsModel. S tímto modelem můžete získat nové typy upozornění, které se přidají do systému, například neobvyklé využití výpočetních prostředků, kryptografické dolování, využití Služby Machine Learning a oznámení o stavu služeb. Nové typy upozornění je možné přidat s omezeným upozorněním, protože se také vyvíjejí hrozby. Pokud používáte speciální zpracování prostřednictvím rozhraní API pro různé typy výstrah, sledujte změny v těchto rozhraních API:

• Získání událostí podvodu
• Aktualizace stavu události podvodu

Co dělat, když obdržíte oznámení výstrah zabezpečení

Následující kontrolní seznam obsahuje navrhované další kroky pro to, co dělat, když obdržíte oznámení o zabezpečení.

• Zkontrolujte, jestli je e-mailové oznámení platné. Když odesíláme výstrahy zabezpečení, posílají se z Microsoft Azure s e-mailovou adresou: no-reply@microsoft.com Partneři dostanou oznámení jenom od Microsoftu.
• Když budete upozorněni, můžete se také podívat na e-mailové upozornění na portálu Centra akcí. Výběrem ikony zvonku zobrazíte upozornění centra akcí.
• Projděte si předplatná Azure. Určete, jestli je aktivita v předplatném legitimní a očekávaná, nebo jestli může být aktivita způsobená neoprávněným zneužitím nebo podvodem.
• Dejte nám vědět, co jste našli, buď prostřednictvím řídicího panelu výstrah zabezpečení nebo z rozhraní API. Další informace o používání rozhraní API najdete v tématu Aktualizace stavu události podvodu. K popisu nalezených položek použijte následující kategorie:
  • Legitimní – Aktivita je očekávaná nebo falešně pozitivní signál.
  • Podvod – Aktivita je způsobená neoprávněným zneužitím nebo podvodem.
  • Ignorovat – Aktivita je starší výstraha a měla by se ignorovat. Další informace najdete v tématu Proč partneři dostávají starší výstrahy zabezpečení?

Jaké další kroky můžete podniknout, abyste snížili riziko ohrožení zabezpečení?

• Povolte vícefaktorové ověřování (MFA) pro zákazníky a partnerské tenanty. Účty, které mají oprávnění ke správě předplatných Azure zákazníků, musí být kompatibilní s vícefaktorovým ověřováním. Další informace najdete v tématu Osvědčené postupy zabezpečení Cloud Solution Provider a osvědčené postupy zabezpečení zákazníka.
• Nastavte upozornění pro monitorování oprávnění přístupu na základě role (RBAC) Azure pro předplatná Azure zákazníků. Další informace najdete v tématu Plán Azure – Správa předplatných a prostředků.
  • Auditujte změny oprávnění u předplatných Azure vašich zákazníků. Projděte si protokol aktivit služby Azure Monitor pro aktivitu související s předplatným Azure.
• Zkontrolujte anomálie útraty oproti rozpočtu útraty ve správě nákladů Azure.
• Informujte zákazníky, aby snížili nevyužitou kvótu, abyste zabránili poškození povolenému v předplatném Azure: Přehled kvót – Kvóty Azure.
  • Odeslání žádosti o správu kvóty Azure: Jak vytvořit žádost o podpora Azure – podpora Azure ability
  • Projděte si aktuální využití kvót: Referenční informace k rozhraní REST API pro kvóty Azure
  • Pokud spouštíte kritické úlohy, které vyžadují vysokou kapacitu, zvažte rezervaci kapacity na vyžádání nebo rezervované instance virtuálních počítačů Azure.

Co byste měli dělat, pokud došlo k ohrožení zabezpečení předplatného Azure?

Proveďte okamžitou akci k ochraně vašeho účtu a dat. Tady je několik návrhů a tipů, které vám pomůžou rychle reagovat a obsahovat potenciální incident, abyste snížili jeho dopad a celkové obchodní riziko.

Náprava ohrožených identit v cloudovém prostředí je zásadní pro zajištění celkového zabezpečení cloudových systémů. Ohrožené identity můžou útočníkům poskytnout přístup k citlivým datům a prostředkům, takže je nezbytné provést okamžitou akci k ochraně účtu a dat.

• Okamžitě změňte přihlašovací údaje pro:

  • Správci tenantů a přístup RBAC k předplatným Azure Co je řízení přístupu na základě role v Azure (Azure RBAC)?
  • Postupujte podle pokynů k heslu. Doporučení zásad hesel
  • Ujistěte se, že všichni správci tenantů a vlastníci RBAC mají zaregistrované a vynucené vícefaktorové ověřování.

• Zkontrolujte a ověřte všechny e-maily a telefonní čísla pro obnovení uživatelských hesel správce v rámci Microsoft Entra ID. V případě potřeby je aktualizujte. Doporučení zásad hesel

• Zkontrolujte, kteří uživatelé, tenanti a předplatná jsou ohroženi na webu Azure Portal.

  • Prozkoumejte riziko tak, že přejdete na ID Microsoft Entra a zkontrolujete sestavy rizik služby Identity Protection. Další informace najdete v tématu Zkoumání rizik microsoft Entra ID Protection.
  • Licenční požadavky pro Službu Identity Protection
  • Náprava rizik a odblokování uživatelů
  • Uživatelská prostředí s Microsoft Entra ID Protection

• Projděte si protokoly přihlášení Microsoft Entra v tenantovi zákazníka a podívejte se na neobvyklé způsoby přihlašování v době, kdy se aktivuje výstraha zabezpečení.

Po vyřazení škodlivých herců vyčistěte ohrožené prostředky. Sledujte ovlivněné předplatné a ujistěte se, že neexistuje žádná další podezřelá aktivita. Je také vhodné pravidelně kontrolovat protokoly a auditovat záznamy, abyste měli jistotu, že je váš účet zabezpečený.

• V protokolu aktivit Azure zkontrolujte všechny neoprávněné aktivity, například změny fakturace, využití nefakturovaných položek řádku nebo konfigurací komerční spotřeby.
• Zkontrolujte anomálie útraty oproti rozpočtu útraty zákazníka ve správě nákladů Azure.
• Zakažte nebo odstraňte všechny ohrožené prostředky:
  • Identifikovat a vyřadit aktéra hrozeb: Pomocí prostředků zabezpečení Microsoftu a Azure se můžete zotavit z ohrožení systémové identity.
  • Zkontrolujte protokol aktivit Azure o všech změnách na úrovni předplatného.
  • Uvolněte a odeberte všechny prostředky vytvořené neoprávněnou stranou. Podívejte se, jak zachovat čisté předplatné Azure | Tipy a triky Azure (video)
  • Předplatná Azure zákazníků můžete zrušit prostřednictvím rozhraní API (zrušení nároku Azure) nebo prostřednictvím portálu Partnerského centra.
  • Okamžitě kontaktujte podpora Azure a nahlaste incident.
  • Vyčištění úložiště po události: Vyhledání a odstranění nepřipojených spravovaných a nespravovaných disků Azure – Azure Virtual Machines

Zabránění ohrožení zabezpečení účtu je jednodušší než jeho obnovení. Proto je důležité posílit stav zabezpečení.

• Zkontrolujte kvótu pro předplatná Azure zákazníků a odešlete žádost o snížení nevyužité kvóty. Další informace najdete v tématu Omezení kvóty.
• Projděte si a implementujte osvědčené postupy zabezpečení Cloud Solution Provider.
• S vašimi zákazníky se seznamte a implementujte osvědčené postupy zabezpečení zákazníka.
• Ujistěte se, že je zapnutý Defender for Cloud (pro tuto službu je dostupná úroveň Free).
• Ujistěte se, že je zapnutý Defender for Cloud (pro tuto službu je dostupná úroveň Free).

Další informace najdete v podpoře článku.

Další nástroje pro monitorování

• Nastavení upozornění na webu Azure Portal
• Nastavení rozpočtu na útratu zákazníků v Azure

Příprava koncových zákazníků

Microsoft odesílá oznámení do předplatných Azure, která odesílají koncovým zákazníkům. Ve spolupráci s koncovým zákazníkem se ujistěte, že může správně fungovat a že jsou v jejich prostředí upozorněni na různé problémy se zabezpečením:

• Nastavení upozornění na využití pomocí služby Azure Monitor nebo služby Azure Cost Management
• Nastavte upozornění služby Service Health tak, aby věděla o dalších oznámeních od Microsoftu o zabezpečení a dalších souvisejících problémech.
• Spolupracujte se správcem tenanta vaší organizace (pokud ho nespravuje partner) a vynucujte ve vašem tenantovi zvýšená bezpečnostní opatření (viz následující část).

Další informace o ochraně tenanta

• Projděte si a implementujte osvědčené postupy provozního zabezpečení pro vaše prostředky Azure.
• Vynucujte vícefaktorové ověřování , abyste posílili stav zabezpečení identit.
• Implementace zásad rizik a upozorňování pro uživatele s vysokým rizikem a přihlašování:Co je Microsoft Entra ID Protection?

Pokud máte podezření na neoprávněné použití předplatného Azure nebo vašeho zákazníka, obraťte se na podporu Microsoft Azure, aby Microsoft mohl urychlit jakékoli další dotazy nebo obavy.

Pokud máte konkrétní dotazy týkající se Partnerského centra, odešlete žádost o podporu v Partnerském centru. Další informace: Získání podpory v Partnerském centru

Kontrola oznámení zabezpečení v protokolech aktivit

1. Přihlaste se k Partnerskému centru a vyberte ikonu nastavení (ozubené kolo) v pravém horním rohu a pak vyberte pracovní prostor Nastavení účtu.
2. Na levém panelu přejděte do protokolů aktivit.
3. Nastavte data Od a To v horním filtru.
4. V části Filtrovat podle typu operace vyberte Zjištěná událost podvodu Azure. Měli byste být schopni zobrazit všechny události výstrah zabezpečení zjištěné pro vybrané období.

Proč partneři dostávají starší výstrahy zabezpečení Azure?

Microsoft od prosince 2021 odesílá upozornění na podvody v Azure. V minulosti však upozornění bylo založeno pouze na předvolbě výslovného souhlasu, kdy partneři museli vyjádřit výslovný souhlas s oznámením. Toto chování jsme změnili. Partneři by teď měli vyřešit všechna upozornění na podvody (včetně starých upozornění), která jsou otevřená. Pokud chcete zabezpečit stav zabezpečení vašich zákazníků a zákazníků, postupujte podle osvědčených postupů zabezpečení Cloud Solution Provider.

Microsoft odesílá denní souhrn podvodů (jedná se o počet ovlivněných partnerů, zákazníků a předplatných), pokud během posledních 60 dnů dojde k aktivnímu nevyřešenému upozornění na podvod. Microsoft odesílá denní souhrn podvodů (jedná se o počet ovlivněných partnerů, zákazníků a předplatných), pokud během posledních 60 dnů dojde k aktivnímu nevyřešenému upozornění na podvod.

Proč se mi nezobrazují všechna upozornění?

Oznámení výstrah zabezpečení jsou omezená na detekci vzorů určitých neobvyklých akcí v Azure. Oznámení výstrah zabezpečení nerozpozná a nezaručují se za účelem detekce všech neobvyklých chování. Je důležité, abyste pomocí jiných metod monitorování mohli detekovat neobvyklé využití v předplatných Azure zákazníka, jako jsou měsíční rozpočty útraty Azure. Pokud se zobrazí upozornění, které je významné a je falešně negativní, spojte se s podporou partnera a zadejte následující informace:

• ID tenanta partnera
• ID tenanta zákazníka
• Subscription ID
• ID zdroje
• Dopad na počáteční a dopad na koncové datum

Související obsah

• Integrujte s rozhraním API výstrah zabezpečení a zaregistrujte webhook.