Delen via


Beveiligingswaarschuwingen detecteren en erop reageren

Juiste rollen: Beheerdersagent

Van toepassing op: Directe factuur van partnercentrum en indirecte providers

U kunt zich abonneren op een nieuwe beveiligingswaarschuwing voor detecties met betrekking tot misbruik door onbevoegden en accountovernames. Deze beveiligingswaarschuwing is een van de vele manieren waarop Microsoft de gegevens biedt die u nodig hebt om de tenants van uw klant te beveiligen. U kunt zich abonneren op een nieuwe beveiligingswaarschuwing voor detecties met betrekking tot misbruik door onbevoegden en accountovernames. Deze beveiligingswaarschuwing is een van de vele manieren waarop Microsoft de gegevens biedt die u nodig hebt om de tenants van uw klant te beveiligen.

Belangrijk

Als partner in het CSP-programma (Cloud Solution Provider) bent u verantwoordelijk voor het Azure-verbruik van uw klanten. Het is dus belangrijk dat u op de hoogte bent van afwijkend gebruik in de Azure-abonnementen van uw klant. Gebruik Beveiligingswaarschuwingen van Microsoft Azure om patronen van frauduleuze activiteiten en misbruik in Azure-resources te detecteren om uw blootstelling aan onlinetransactierisico's te verminderen. Beveiligingswaarschuwingen van Microsoft Azure detecteren niet alle soorten frauduleuze activiteiten of misbruik, dus het is van cruciaal belang dat u aanvullende bewakingsmethoden gebruikt om afwijkend gebruik in de Azure-abonnementen van uw klant te detecteren. Zie Niet-betaling, fraude of misbruik beheren en Klantaccounts beheren voor meer informatie.

Actie vereist: Met bewaking en signaalbewustzijn kunt u onmiddellijk actie ondernemen om te bepalen of het gedrag legitiem of frauduleus is. Indien nodig kunt u de betrokken Azure-resources of Azure-abonnementen onderbreken om een probleem te verhelpen.

Zorg ervoor dat het voorkeurs-e-mailadres voor uw partnerbeheerders up-to-date is, zodat ze samen met de beveiligingscontactpersonen kunnen worden gewaarschuwd.

Abonneren op beveiligingswaarschuwingen

U kunt zich abonneren op verschillende partnermeldingen op basis van uw rol.

Beveiligingswaarschuwingen melden u wanneer het Azure-abonnement van uw klant afwijkende activiteiten weergeeft.

Waarschuwingen per e-mail ontvangen

  1. Meld u aan bij het Partnercentrum en selecteer Meldingen (bel).
  2. Selecteer Mijn voorkeuren.
  3. Stel een voorkeurs-e-mailadres in als u dit nog niet hebt gedaan.
  4. Stel de voorkeurstaal voor de melding in als u dit nog niet hebt gedaan.
  5. Selecteer Bewerken naast voorkeuren voor e-mailmeldingen.
  6. Schakel alle selectievakjes in met betrekking tot klanten in de kolom Werkruimte. (Als u zich wilt afmelden, schakelt u de selectie van de transactionele sectie onder de werkruimte van de klant uit.)
  7. Selecteer Opslaan.

We verzenden beveiligingswaarschuwingen wanneer we mogelijke beveiligingswaarschuwingen detecteren of misbruiken in een aantal Microsoft Azure-abonnementen van uw klanten. Er zijn drie typen e-mailberichten:

  • Dagelijks overzicht van niet-opgeloste beveiligingswaarschuwingen (aantal partners, klanten en abonnementen dat wordt beïnvloed door verschillende waarschuwingstypen)
  • Bijna realtime beveiligingswaarschuwingen. Zie Fraude-gebeurtenissen ophalen voor een lijst met Azure-abonnementen met mogelijke beveiligingsproblemen.
  • Meldingen over beveiligingsadvies in bijna realtime. Deze meldingen bieden inzicht in de meldingen die naar de klant worden verzonden wanneer er een beveiligingswaarschuwing is.

Partners voor directe facturering van Cloud Solution Provider (CSP) kunnen meer waarschuwingen zien voor activiteiten, bijvoorbeeld: afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en meldingen over servicestatus. Partners voor directe facturering van Cloud Solution Provider (CSP) kunnen meer waarschuwingen zien voor activiteiten, bijvoorbeeld: afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en meldingen over servicestatus.

Waarschuwingen ontvangen via een webhook

Partners kunnen zich registreren bij een webhook-gebeurtenis: azure-fraud-event-detected om waarschuwingen te ontvangen voor resourcewijzigingsevenementen. Zie Webhook-gebeurtenissen in Partnercentrum voor meer informatie.

Waarschuwingen bekijken en erop reageren via het dashboard Beveiligingswaarschuwingen

CSP-partners hebben toegang tot het dashboard Beveiligingswaarschuwingen van Partner Center om waarschuwingen te detecteren en erop te reageren. Zie Reageren op beveiligingsevenementen met het dashboard Beveiligingswaarschuwingen van Partner Center voor meer informatie. CSP-partners hebben toegang tot het dashboard Beveiligingswaarschuwingen van Partner Center om waarschuwingen te detecteren en erop te reageren. Zie Reageren op beveiligingsevenementen met het dashboard Beveiligingswaarschuwingen van Partner Center voor meer informatie.

Waarschuwingsgegevens ophalen via API

De nieuwe Microsoft Graph Security Alerts-API (bèta) gebruiken

Voordelen: vanaf mei 2024 is de preview-versie van de Microsoft Graph Security Alerts-API beschikbaar. Deze API biedt een uniforme API-gateway-ervaring in andere Microsoft-services zoals Microsoft Entra ID, Teams en Outlook.

Vereisten voor onboarding: CSP-partners die onboarding uitvoeren, zijn vereist voor het gebruik van de nieuwe bèta-API voor beveiligingswaarschuwingen. Zie De BEVEILIGINGSwaarschuwings-API van de partner gebruiken in Microsoft Graph voor meer informatie.

De MICROSOFT Graph Security Alerts API V1-versie wordt uitgebracht in juli 2024.

Gebruiksscenario API's
Onboarden bij Microsoft Graph API om toegangstoken op te halen Toegang krijgen namens een gebruiker
Beveiligingswaarschuwingen weergeven om inzicht te krijgen in de waarschuwingen SecurityAlerts vermelden
Beveiligingswaarschuwingen ophalen om inzicht te krijgen in een specifieke waarschuwing op basis van de geselecteerde queryparameter. PartnerSecurityAlert ophalen
Token ophalen om de Partner Center-API's aan te roepen voor referentie-informatie Beveiligd toepassingsmodel inschakelen
Uw organisatieprofielgegevens ophalen Een organisatieprofiel ophalen
Uw klantgegevens ophalen op id Een klant ophalen op basis van id
De gegevens van indirecte resellers van een klant ophalen op basis van id Indirecte resellers van een klant ophalen
Abonnementsgegevens van de klant ophalen op id Een abonnement ophalen op id
Waarschuwingsstatus bijwerken en oplossen wanneer dit is verholpen PartnerSecurityAlert bijwerken

Ondersteuning voor de bestaande FraudEvents-API

Belangrijk

De VEROUDERDE API voor fraude-gebeurtenissen wordt afgeschaft in CY Q4 2024. Kijk voor meer informatie naar maandelijkse aankondigingen voor partnercentrumbeveiliging. CSP-partners moeten migreren naar de nieuwe Microsoft Graph Security Alerts-API, die nu beschikbaar is in preview.

Tijdens de overgangsperiode kunnen CSP-partners de FraudEvents-API blijven gebruiken om extra detectiesignalen op te halen met behulp van X-NewEventsModel. Met dit model kunt u nieuwe typen waarschuwingen krijgen wanneer deze worden toegevoegd aan het systeem, bijvoorbeeld afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en servicestatusadviesmeldingen. Nieuwe typen waarschuwingen kunnen met beperkte kennisgeving worden toegevoegd, omdat bedreigingen ook worden ontwikkeld. Als u speciale verwerking via de API gebruikt voor verschillende waarschuwingstypen, controleert u deze API's op wijzigingen:

Wat u moet doen wanneer u een melding over een beveiligingswaarschuwing ontvangt

De volgende controlelijst bevat voorgestelde volgende stappen voor wat u moet doen wanneer u een beveiligingsmelding ontvangt.

  • Controleer of de e-mailmelding geldig is. Wanneer we beveiligingswaarschuwingen verzenden, worden ze verzonden vanuit Microsoft Azure, met het e-mailadres: no-reply@microsoft.com Partners ontvangen alleen meldingen van Microsoft.
  • Wanneer u een melding ontvangt, kunt u de e-mailwaarschuwing ook zien in de portal van het Actiecentrum. Selecteer het belpictogram om de waarschuwingen van het Actiecentrum weer te geven.
  • Bekijk de Azure-abonnementen. Bepaal of de activiteit in het abonnement legitiem en verwacht is, of dat de activiteit kan worden veroorzaakt door onbevoegd misbruik of fraude.
  • Laat ons weten wat u hebt gevonden via het dashboard Beveiligingswaarschuwingen of via de API. Zie De gebeurtenisstatus fraude bijwerken voor meer informatie over het gebruik van de API. Gebruik de volgende categorieën om te beschrijven wat u hebt gevonden:
    • Legitiem : de activiteit wordt verwacht of een fout-positief signaal.
    • Fraude : de activiteit wordt veroorzaakt door onbevoegd misbruik of fraude.
    • Negeren : de activiteit is een oudere waarschuwing en moet worden genegeerd. Zie Waarom ontvangen partners oudere beveiligingswaarschuwingen? voor meer informatie.

Welke andere stappen kunt u ondernemen om het risico op inbreuk te verlagen?

Wat moet u doen als er inbreuk is gemaakt op een Azure-abonnement?

Neem onmiddellijk actie om uw account en gegevens te beveiligen. Hier volgen enkele suggesties en tips om snel te reageren en een potentieel incident te bevatten om de impact en het totale bedrijfsrisico te verminderen.

Het herstellen van gecompromitteerde identiteiten in een cloudomgeving is van cruciaal belang voor de algehele beveiliging van cloudsystemen. Gecompromitteerde identiteiten kunnen aanvallers toegang bieden tot gevoelige gegevens en resources, waardoor het essentieel is om onmiddellijk actie te ondernemen om het account en de gegevens te beveiligen.

Nadat kwaadwillende actoren zijn verwijderd, schoont u de aangetaste resources op. Houd het betreffende abonnement in de gaten om ervoor te zorgen dat er geen verdere verdachte activiteiten zijn. Het is ook een goed idee om regelmatig uw logboeken en audittrails te controleren om ervoor te zorgen dat uw account veilig is.

Het voorkomen van inbreuk op accounts is eenvoudiger dan het herstellen ervan. Daarom is het belangrijk om uw beveiligingspostuur te versterken.

  • Controleer het quotum voor de Azure-abonnementen van klanten en dien de aanvraag in om het ongebruikte quotum te verminderen. Zie Quotum beperken voor meer informatie.
  • Bekijk en implementeer de best practices voor cloud solution provider-beveiliging.
  • Werk samen met uw klanten om de best practices voor klantbeveiliging te leren en te implementeren.
  • Zorg ervoor dat Defender voor Cloud is ingeschakeld (er is een gratis laag beschikbaar voor deze service).
  • Zorg ervoor dat Defender voor Cloud is ingeschakeld (er is een gratis laag beschikbaar voor deze service).

Zie het artikelondersteuning voor meer informatie.

Meer hulpprogramma's voor bewaking

Uw eindklanten voorbereiden

Microsoft verzendt meldingen naar Azure-abonnementen, die naar uw eindklanten gaan. Werk samen met uw eindklant om ervoor te zorgen dat ze op de juiste wijze kunnen handelen en worden gewaarschuwd voor verschillende beveiligingsproblemen in hun omgeving:

  • Gebruikswaarschuwingen instellen met Azure Monitor of Azure Cost Management.
  • Stel Service Health-waarschuwingen in om op de hoogte te zijn van andere meldingen van Microsoft over beveiliging en andere gerelateerde problemen.
  • Werk samen met de tenantbeheerder van uw organisatie (als dit niet wordt beheerd door de partner) om verhoogde beveiligingsmaatregelen voor uw tenant af te dwingen (zie de volgende sectie).

Aanvullende informatie voor het beveiligen van uw tenant

Als u vermoedt dat u niet-geautoriseerd gebruik van uw of het Azure-abonnement van uw klant vermoedt, neemt u contact op met Microsoft Azure-ondersteuning , zodat Microsoft kan helpen bij het versnellen van andere vragen of problemen.

Als u specifieke vragen hebt met betrekking tot partnercentrum, dient u een ondersteuningsaanvraag in het Partnercentrum in. Voor meer informatie: Krijg ondersteuning in partnercentrum.

Beveiligingsmeldingen controleren onder Activiteitenlogboeken

  1. Meld u aan bij Het Partnercentrum en selecteer het instellingenpictogram (tandwiel) in de rechterbovenhoek en selecteer vervolgens de werkruimte Accountinstellingen .
  2. Navigeer naar activiteitenlogboeken in het linkerdeelvenster.
  3. Stel de datums van van en naar in het bovenste filter.
  4. Selecteer in Filter by Operation Type de optie Azure Fraud Event Detected. U moet alle beveiligingswaarschuwingen kunnen zien die zijn gedetecteerd voor de geselecteerde periode.

Waarom ontvangen partners oudere Azure-beveiligingswaarschuwingen?

Microsoft verzendt sinds december 2021 waarschuwingen voor Azure Fraude. In het verleden was waarschuwingsmelding echter alleen gebaseerd op opt-in-voorkeur, waarbij partners zich moesten aanmelden om kennisgeving te ontvangen. We hebben dit gedrag gewijzigd. Partners moeten nu alle fraudewaarschuwingen (inclusief oude waarschuwingen) die geopend zijn, oplossen. Volg de aanbevolen procedures voor beveiliging van uw en uw klanten om de beveiligingspostuur van uw en uw klanten te beveiligen.

Microsoft verzendt het dagelijkse fraudeoverzicht (dit is het aantal partners, klanten en abonnementen dat wordt beïnvloed) als er een actieve, onopgeloste fraudewaarschuwing binnen de afgelopen 60 dagen is. Microsoft verzendt het dagelijkse fraudeoverzicht (dit is het aantal partners, klanten en abonnementen dat wordt beïnvloed) als er een actieve, onopgeloste fraudewaarschuwing binnen de afgelopen 60 dagen is.

Waarom zie ik niet alle waarschuwingen?

Meldingen over beveiligingswaarschuwingen zijn beperkt tot het detecteren van patronen van bepaalde afwijkende acties in Azure. Meldingen over beveiligingswaarschuwingen worden niet gedetecteerd en worden niet gegarandeerd alle afwijkende gedragingen gedetecteerd. Het is van cruciaal belang dat u andere bewakingsmethoden gebruikt om afwijkend gebruik te detecteren in de Azure-abonnementen van uw klant, zoals maandelijkse Azure-uitgavenbudgetten. Als u een waarschuwing ontvangt die significant is en een fout-negatief is, neemt u contact op met partnerondersteuning en geeft u de volgende informatie op:

  • Tenant-id van partner
  • Tenant-id van de klant
  • Abonnements-id
  • Resource-id
  • Gevolgen voor begin- en einddatums