Répondre aux événements de sécurité avec le tableau de bord Alertes de sécurité
Rôles appropriés : Agent d’administration
S’applique à : partenaires de facturation directe de l’Espace partenaires et fournisseurs indirects
Le tableau de bord Alertes de sécurité de l’Espace partenaires vous aide à répondre rapidement à la sécurité, à la fraude et à d’autres événements qui se produisent dans l’Espace partenaires ou le locataire de votre client.
API
Si vous avez plusieurs locataires Microsoft Entra dans l’Espace partenaires, vous pouvez utiliser les API suivantes pour obtenir et mettre à jour des alertes au lieu d’utiliser le tableau de bord Alertes de sécurité :
- Notification de fraude Azure - Obtenir des événements de fraude
- Notification de fraude Azure – Mettre à jour l’état des événements de fraude
Prérequis
Pour utiliser le tableau de bord Alertes de sécurité de l’Espace partenaires, votre compte d’utilisateur doit être affecté au rôle Agent d’administration.
Importance de la réponse en temps voulu aux alertes
Lorsqu’une alerte est créée dans votre tableau de bord, il est essentiel que vous triiez et atténuez l’incident qui a provoqué l’alerte dès que possible. En tant que principe guidant, nous vous recommandons de répondre aux alertes dans un délai d’une heure. Pour le type d’alertes de fraude , plus vous prenez de temps pour répondre à l’incident et atténuer l’incident qui a provoqué l’alerte, plus l’impact financier potentiel est élevé.
Ouverture du tableau de bord
Pour ouvrir le tableau de bord Alertes de sécurité de l’Espace partenaires :
- Connectez-vous à l’Espace partenaires en tant qu’utilisateur disposant du rôle Agent d’administration.
- Sélectionnez l’espace de travail Insights .
- Dans le menu de gauche, sous Sécurité, sélectionnez Alertes.
Vous pouvez également utiliser ce lien pour accéder directement au tableau de bord.
Affichage des alertes
Le tableau de bord affiche des informations sur les catégories d’alertes suivantes.
- Temps moyen : temps moyen de réponse et de résolution des alertes au cours des 30 derniers jours.
- Nouveaux événements cette semaine : nombre de nouvelles alertes pour les sept derniers jours.
- Résolu : nombre d’alertes résolues avec une raison spécifiée (par exemple, Légitime ou Fraude).
- Non résolu : nombre d’alertes non résolues qui ont besoin d’attention.
La section inférieure du tableau de bord répertorie les alertes qui affectent le locataire de l’Espace partenaires où vous êtes connecté.
La table comporte les colonnes suivantes :
- Nom de l’alerte : informations générales sur ce qui a été détecté.
- ID d’abonnement : identificateur qui s’affiche lorsqu’une alerte est détectée dans un abonnement Azure spécifique.
- ID d’alerte : identificateur unique de l’alerte.
- État de l’alerte : état de l’alerte (actif ou résolu).
- Première observation : la première fois que l’alerte s’est produite.
- Dernière observation : heure la plus récente de l’apparition de l’alerte.
- Type d’alerte : type d’activité détecté et qui a provoqué l’alerte. Il existe deux types d’alertes :
- Notification Azure : indique qu’un message a été envoyé au client de l’abonnement Azure concerné et affiché en tant que notification Service Health . Une copie de ce message s’affiche dans les détails de l’alerte.
- Utilisation d’Azure : indique une augmentation inhabituelle de l’activité dans l’abonnement Azure ou une activité anormale qui se produit dans l’abonnement, comme l’exploration de données de crypto-monnaie.
- Gravité : niveau d’urgence en réponse à l’alerte.
Vous pouvez utiliser l’option Filtrer pour modifier les alertes qui s’affichent dans le tableau de bord d’alerte.
Vous pouvez utiliser la fonctionnalité de recherche pour rechercher toutes les alertes des informations que vous entrez dans la zone. Les résultats de la recherche incluent les informations suivantes :
- ID d’abonnement
- ID de l'alerte
- Nom du client
Actions sur la page de détails de l’alerte
Pour afficher plus de détails sur une alerte, sélectionnez le nom de l’alerte. Par exemple, l’exemple d’alerte suivant montre le comportement lié à l’exploration de données de crypto-monnaie dans un abonnement Azure.
Section supérieure
La partie supérieure de la page de détails de l’alerte affiche les informations du client et du revendeur (le cas échéant).
Description de l’alerte
La section Description de l’alerte fournit une vue d’ensemble de la raison pour laquelle l’alerte s’est produite, ainsi que des étapes à examiner.
Ressources impactées
La section Ressources affectées contient deux actions :
- Marquez comme légitime : vous avez examiné les ressources et n’avez trouvé aucune preuve de ce que l’alerte a indiqué ou vérifié auprès du client que le comportement est attendu.
- Marquer comme fraude : vous avez examiné les ressources et constaté qu’elles effectuaient le comportement indiqué par l’alerte.
Lorsque vous avez terminé votre examen de l’alerte, sélectionnez une action pour indiquer à l’Espace partenaires ce que vous avez découvert. La sélection d’une action marque l’alerte résolue. L’action que vous sélectionnez indique la raison (c’est-à-dire la valeur Raison ) pour laquelle vous résoutz l’alerte.
Informations sur la ressource
La section Informations sur les ressources fournit des détails sur les ressources impliquées dans la détection qui a provoqué l’alerte. Dans cet exemple, il existe une machine virtuelle nommée badvmtest dans le groupe de ressources nommé testserver. La première heure de connexion et les valeurs de l’heure de la dernière connexion indiquent quand nous avons détecté cette ressource contactant un pool d’exploration de données connu et l’heure la plus récente que nous avons observée.
Informations supplémentaires
La section Informations supplémentaires fournit des détails sur le comportement que la ressource expose, le cas échéant. Dans cet exemple, la machine virtuelle badvmtest a communiqué avec l’adresse IP d’un pool d’exploration de données connu. La section Informations sur la ressource indique qu’elle est connectée à l’adresse IP quatre fois entre la première connexion et l’heure de la dernière connexion.
Ressources
Dans la section Ressources , utilisez les liens pour en savoir plus sur les alertes et sur ce qu’il faut faire lorsque vous recevez une alerte.
Section inférieure
Le bas de la page de détails de l’alerte affiche trois boutons pour les actions que vous pouvez effectuer.
Annuler l’abonnement : vous devez disposer à la fois de rôles Administrateur général et Agent d’administration pour utiliser cette action. Si votre examen de l’alerte indique qu’une partie non autorisée a dépassé l’abonnement Azure, vous pouvez sélectionner Annuler l’abonnement pour libérer toutes les ressources de l’abonnement Azure et marquer toutes les données de l’abonnement pour suppression après la période de rétention.
Avant d’effectuer cette action, nous vous recommandons de communiquer avec votre client sur l’alerte et (si possible) d’obtenir son consentement pour annuler l’abonnement. Lorsque vous sélectionnez le bouton, une boîte de dialogue s’affiche et vous demande de confirmer que vous comprenez l’impact de cette action.
Pour annuler l’abonnement Azure, sélectionnez Continuer avec annulation. Lorsque vous sélectionnez Continuer avec annulation, l’abonnement est annulé et toutes les alertes de cet abonnement sont marquées Résolues avec la raison de fraude.
Pour plus d’informations, consultez Annuler un abonnement Azure.
Gérer l’abonnement : cette action vous dirige vers le Portail Azure à l’aide de l’administrateur au nom de (AOBO). En fonction du niveau d’accès que le client vous a accordé, vous pourrez peut-être examiner plus en détail les ressources indiquées dans les détails de l’alerte. Pour plus d’informations, consultez Gérer les abonnements et les ressources dans le plan Azure.
Retour aux alertes : cette action vous renvoie au tableau de bord Alertes de sécurité avec la liste des alertes.
Actions sur le tableau de bord Alertes de sécurité
Au-dessus de la liste des alertes dans le tableau de bord Alertes de sécurité, vous pouvez effectuer deux actions.
Annuler l’abonnement : vous devez disposer à la fois de rôles Administrateur général et Agent d’administration pour utiliser cette action. Si votre examen de l’alerte indique qu’une partie non autorisée a dépassé l’abonnement Azure, vous pouvez sélectionner Annuler l’abonnement pour libérer toutes les ressources de l’abonnement Azure et marquer toutes les données de l’abonnement pour suppression après la période de rétention.
Avant d’effectuer cette action, nous vous recommandons de communiquer avec votre client sur l’alerte et (si possible) d’obtenir son consentement pour annuler l’abonnement. Lorsque vous sélectionnez le bouton, une boîte de dialogue s’affiche et vous demande de confirmer que vous comprenez l’impact de cette action.
Pour annuler l’abonnement Azure, sélectionnez Continuer avec annulation.
Exporter : si vous souhaitez exporter toutes les informations détaillées sur les alertes, vous pouvez utiliser l’action Exporter pour télécharger un fichier csv (valeur séparée par des virgules) qui contient les informations d’alerte.
Cette action produit un fichier CSV avec uniquement les alertes que vous affichez actuellement. Pour ajuster les alertes que vous souhaitez exporter, utilisez l’option Filtrer .