Reakce na události zabezpečení pomocí řídicího panelu Výstrahy zabezpečení

Příslušné role: Agent pro správu

Platí pro: Partneři partnerského centra s přímým vyúčtováním a nepřímí poskytovatelé

Řídicí panel Výstrahy zabezpečení v Partnerském centru vám pomůže rychle reagovat na zabezpečení, podvody a další události, ke kterým dochází v Partnerském centru nebo v tenantovi vašeho zákazníka.

Rozhraní API

Pokud máte v Partnerském centru více tenantů Microsoft Entra, můžete místo řídicího panelu Výstrahy zabezpečení získat a aktualizovat upozornění pomocí následujících rozhraní API:

• Oznámení o podvodech Azure – Získání podvodných událostí
• Oznámení o podvodech Azure – aktualizace stavu události podvodu

Požadavky

Pokud chcete použít řídicí panel Výstrah zabezpečení v Partnerském centru, musí být váš uživatelský účet přiřazený roli agenta pro správu.

Důležitost včasné reakce na výstrahy

Když se na řídicím panelu vytvoří upozornění, je důležité, abyste co nejdříve zmírňovali prioritu incidentu, který výstrahu způsobil. Jako hlavní princip doporučujeme reagovat na výstrahy do jedné hodiny. U výstrah typu Podvod, tím déle budete muset reagovat a zmírnit incident, který výstrahu způsobil, tím větší je potenciální finanční dopad.

Otevření řídicího panelu

Otevření řídicího panelu výstrah zabezpečení v Partnerském centru:

1. Přihlaste se k Partnerskému centru jako uživatel, který má roli agenta pro správu.
2. Vyberte pracovní prostor Přehledy.
3. V nabídce vlevo v části Zabezpečení vyberte Výstrahy.

Pomocí tohoto odkazu můžete také přejít přímo na řídicí panel.

Zobrazení upozornění

Řídicí panel zobrazuje informace o následujících kategoriích výstrah.

• Průměrná doba: Průměrná doba reakce na výstrahy za posledních 30 dnů a jejich řešení.
• Nové události tento týden: Počet nových upozornění za posledních 7 dnů.
• Vyřešeno: Počet výstrah, které jsou vyřešeny s důvodem zadaným (například legitimním nebo podvodem).
• Nevyřešeno: Počet nevyřešených výstrah, které vyžadují pozornost.

V dolní části řídicího panelu jsou uvedeny výstrahy, které mají vliv na tenanta Partnerského centra, ve kterém jste přihlášení.

Tabulka obsahuje tyto sloupce:

• Název výstrahy: Obecné informace o tom, co bylo zjištěno.
• ID předplatného: Identifikátor, který se zobrazí při zjištění výstrahy v konkrétním předplatném Azure.
• ID výstrahy: Jedinečný identifikátor výstrahy.
• Stav výstrahy: Stav výstrahy (Aktivní nebo Vyřešeno).
• První pozorovaný stav: Při prvním zobrazení výstrahy.
• Poslední pozorovaný stav: Poslední čas, kdy se výstraha objevila.
• Typ výstrahy: Typ zjištěné aktivity, která způsobila výstrahu. Existují dva typy upozornění:
  • Oznámení Azure: Označuje, že se zákazníkovi ovlivněného předplatného Azure odeslala zpráva, která se zobrazila jako oznámení služby Service Health . Kopie této zprávy se zobrazí v podrobnostech výstrahy.
  • Využití Azure: Označuje buď neobvyklý nárůst aktivity v předplatném Azure, nebo neobvyklou aktivitu, ke které dochází v předplatném, jako je například dolování kryptografie.
• Závažnost: Úroveň naléhavosti reakce na výstrahu.

Pomocí možnosti Filtr můžete změnit, které výstrahy se zobrazují na řídicím panelu upozornění.

Pomocí funkce Hledat můžete hledat všechny výstrahy pro informace, které zadáte do pole. Výsledky hledání obsahují následující informace:

• ID předplatného
• ID upozornění
• Jméno zákazníka

Akce na stránce s podrobnostmi upozornění

Pokud chcete zobrazit další podrobnosti o výstraze, vyberte název výstrahy. Například následující příklad upozornění ukazuje chování, které souvisí s dolováním kryptografie, ke kterým dochází v předplatném Azure.

Horní oddíl

V horní části stránky s podrobnostmi výstrahy se zobrazují informace o zákazníci a prodejci (pokud jsou k dispozici).

Popis výstrahy

V části Popis výstrahy najdete přehled o tom, proč k upozornění došlo, spolu s kroky k prozkoumání.

Ovlivněné prostředky

Oddíl Ovlivněné prostředky obsahuje dvě akce:

• Označit jako legitimní: Prozkoumali jste prostředky a buď jste nenašli žádné důkazy o tom, co upozornění označilo, nebo jste ověřili u zákazníka, že se toto chování očekává.
• Označit jako podvod: Prošetřili jste prostředky a zjistili jste, že provádějí chování označené výstrahou.

Po dokončení vyšetřování výstrahy vyberte akci, která partnerskému centru sdělí, co jste zjistili. Výběrem akce označíte výstrahu Vyřešeno. Akce, kterou vyberete, označuje důvod (tj. hodnotu důvodu ), proč výstrahu řešíte.

Informace o prostředku

Část Informace o zdroji obsahuje podrobnosti o prostředcích, které byly součástí detekce, která výstrahu způsobila. V tomto příkladu je virtuální počítač s názvem badvmtest ve skupině prostředků s názvem testserver. Hodnoty čas prvního připojení a čas posledního připojení označují, kdy jsme poprvé zjistili, že tento prostředek kontaktoval známý dolování fond a poslední čas, kdy jsme ho zaznamenali.

Další informace

Část Další informace obsahuje podrobnosti o chování, které prostředek vykazuje, pokud jsou k dispozici. V tomto příkladu virtuální počítač badvmtest komunikoval s IP adresou známého dolování fondu. Oddíl Informace o zdroji ukazuje, že se připojil k IP adrese čtyřikrát mezi časem prvního připojení a časem posledního připojení.

Zdroje informací

V části Zdroje informací se pomocí odkazů dozvíte více o upozorněních a o tom, co dělat, když dostanete upozornění.

Dolní oddíl

V dolní části stránky s podrobnostmi výstrahy jsou tři tlačítka pro akce, které můžete provést.

• Zrušit předplatné: Abyste mohli tuto akci použít, musíte mít role globálního správce i agenta pro správu. Pokud vaše šetření výstrahy značí, že neautorizovaný účastník přeskočil předplatné Azure, můžete výběrem možnosti Zrušit předplatné zrušit přidělení všech prostředků v předplatném Azure a označit všechna data v předplatném k odstranění po uplynutí doby uchovávání informací.

  Před provedením této akce doporučujeme, abyste se zákazníkem o upozornění komunikovali a (pokud je to možné) a získali souhlas s zrušením předplatného. Když tlačítko vyberete, zobrazí se dialogové okno a požádá vás, abyste potvrdili, že rozumíte dopadu této akce.

  

  Pokud chcete zrušit předplatné Azure, vyberte Pokračovat se zrušením. Když vyberete Pokračovat se zrušením, předplatné se zruší a všechna upozornění pro toto předplatné se označí jako Vyřešeno s důvodem podvodu.

  Další informace najdete v tématu Zrušení předplatného Azure.

• Správa předplatného: Tato akce vás provede na webu Azure Portal pomocí správce jménem uživatele (AOBO). Na základě úrovně přístupu, kterou vám zákazník udělil, můžete být schopni dále prozkoumat prostředky uvedené v podrobnostech výstrahy. Další informace najdete v tématu Správa předplatných a prostředků v rámci plánu Azure.

• Zpět k upozorněním: Tato akce vás vrátí na řídicí panel Výstrahy zabezpečení se seznamem výstrah.

Akce na řídicím panelu Výstrahy zabezpečení

Nad seznamem výstrah na řídicím panelu Výstrahy zabezpečení jsou dvě akce, které můžete provést.

• Zrušit předplatné: Abyste mohli tuto akci použít, musíte mít role globálního správce i agenta pro správu. Pokud vaše šetření výstrahy značí, že neautorizovaný účastník přeskočil předplatné Azure, můžete výběrem možnosti Zrušit předplatné zrušit přidělení všech prostředků v předplatném Azure a označit všechna data v předplatném k odstranění po uplynutí doby uchovávání informací.

  Před provedením této akce doporučujeme, abyste se zákazníkem o upozornění komunikovali a (pokud je to možné) a získali souhlas s zrušením předplatného. Když tlačítko vyberete, zobrazí se dialogové okno a požádá vás, abyste potvrdili, že rozumíte dopadu této akce.

  Pokud chcete zrušit předplatné Azure, vyberte Pokračovat se zrušením.

  

• Export: Pokud chcete exportovat všechny podrobné informace o výstrahách, můžete pomocí akce Export stáhnout soubor s hodnotami oddělenými čárkami (CSV), který obsahuje informace o výstraze.

  Tato akce vytvoří soubor CSV pouze s upozorněními, která právě prohlížíte. Pokud chcete upravit výstrahy, které chcete exportovat, použijte možnost Filtr .

Související obsah

• Detekce a oznámení o podvodech Azure