Udostępnij za pośrednictwem

Reagowanie na zdarzenia zabezpieczeń za pomocą pulpitu nawigacyjnego Alerty zabezpieczeń

  • Artykuł

Odpowiednie role: Agent administracyjny

Dotyczy: Partnerzy w Centrum partnerskim rozliczani bezpośrednio i dostawcy pośredni

Pulpit nawigacyjny Alerty zabezpieczeń Centrum partnerskiego pomaga szybko reagować na zabezpieczenia, oszustwa i inne zdarzenia występujące w Centrum partnerskim lub dzierżawie klienta.

Interfejsy API

Jeśli masz wiele dzierżaw firmy Microsoft Entra w Centrum partnerskim, możesz użyć następujących interfejsów API, aby uzyskać i zaktualizować alerty zamiast korzystać z pulpitu nawigacyjnego Alerty zabezpieczeń:

Wymagania wstępne

Aby korzystać z pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego, konto użytkownika musi mieć przypisaną rolę agenta administracyjnego.

Znaczenie terminowej odpowiedzi na alerty

Po utworzeniu alertu na pulpicie nawigacyjnym ważne jest, aby jak najszybciej sklasyfikować i wyeliminować zdarzenie, które spowodowało alert. Jako zasada przewodnia zalecamy reagowanie na alerty w ciągu jednej godziny. W przypadku typu alertów Typu oszustwa im dłużej trzeba reagować i ograniczać ryzyko zdarzenia, które spowodowały alert, tym większy potencjalny wpływ finansowy.

Otwieranie pulpitu nawigacyjnego

Aby otworzyć pulpit nawigacyjny Alerty zabezpieczeń Centrum partnerskiego:

  1. Zaloguj się do Centrum partnerskiego jako użytkownik mający rolę agenta administracyjnego.
  2. Wybierz obszar roboczy Szczegółowe informacje.
  3. W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Alerty.

Możesz również użyć tego linku , aby przejść bezpośrednio do pulpitu nawigacyjnego.

Wyświetlanie alertów

Na pulpicie nawigacyjnym są wyświetlane informacje o następujących kategoriach alertów.

Zrzut ekranu przedstawiający pulpit nawigacyjny Alerty zabezpieczeń Centrum partnerskiego, w tym średni czas odpowiedzi, nowe zdarzenia w tym tygodniu, rozwiązane i nierozwiązane.

  • Średni czas: średni czas reagowania na alerty i rozwiązywania ich w ciągu ostatnich 30 dni.
  • Nowe zdarzenia w tym tygodniu: liczba nowych alertów z ostatnich siedmiu dni.
  • Rozwiązano: liczba alertów, które zostały rozwiązane z określoną przyczyną (na przykład Legalne lub Oszustwa).
  • Nierozwiązane: liczba nierozwiązanych alertów wymagających uwagi.

W dolnej sekcji pulpitu nawigacyjnego są wyświetlane alerty wpływające na dzierżawę Centrum partnerskiego, w której się logujesz.

Zrzut ekranu przedstawiający pulpit nawigacyjny Alerty zabezpieczeń i akcje, które można wykonać, w tym Anulowanie subskrypcji i Eksportowanie.

Tabela zawiera następujące kolumny:

  • Nazwa alertu: ogólne informacje o wykrytych elementach.
  • Identyfikator subskrypcji: identyfikator wyświetlany po wykryciu alertu w określonej subskrypcji platformy Azure.
  • Identyfikator alertu: unikatowy identyfikator alertu.
  • Stan alertu: stan alertu (aktywny lub rozwiązany).
  • Po raz pierwszy zaobserwowano: po raz pierwszy pojawił się alert.
  • Ostatnio zaobserwowano: ostatni raz, kiedy pojawił się alert.
  • Typ alertu: typ wykrytego działania i przyczyna alertu. Istnieją dwa typy alertów:
    • Powiadomienie platformy Azure: wskazuje, że komunikat został wysłany do klienta objętej subskrypcji platformy Azure i wyświetlany jako powiadomienie usługi Service Health . Kopia tego komunikatu zostanie wyświetlona w szczegółach alertu.
    • Użycie platformy Azure: wskazuje nietypowy wzrost aktywności w subskrypcji platformy Azure lub nietypowe działanie występujące w subskrypcji, takie jak górnictwo kryptowalut.
  • Ważność: poziom pilności reagowania na alert.

Możesz użyć opcji Filtruj, aby zmienić alerty wyświetlane na pulpicie nawigacyjnym Alert.

Funkcja Wyszukiwania umożliwia wyszukiwanie wszystkich alertów dla informacji wprowadzonych w polu . Wyniki wyszukiwania zawierają następujące informacje:

  • Identyfikator subskrypcji
  • Identyfikator alertu
  • Nazwa klienta

Akcje na stronie szczegółów alertu

Aby wyświetlić więcej szczegółów dotyczących alertu, wybierz nazwę alertu. Na przykład poniższy przykładowy alert pokazuje zachowanie związane z wyszukiwaniem kryptowalut występującym w subskrypcji platformy Azure.

Zrzut ekranu przedstawiający szczegóły alertu związane z górnictwem kryptowalut.

Górna sekcja

W górnej części strony szczegółów alertu są wyświetlane informacje o kliencie i odsprzedawcy (jeśli dotyczy).

Opis alertu

Sekcja Opis alertu zawiera omówienie przyczyn wystąpienia alertu wraz z krokami do zbadania.

Zasoby objęte wpływem

Sekcja Zasoby , których to dotyczy, zawiera dwie akcje:

  • Oznacz jako uzasadnione: Zbadano zasoby i nie znaleziono żadnych dowodów na to, co alert wskazał lub zweryfikowano u klienta, że zachowanie jest oczekiwane.
  • Oznacz jako oszustwo: Zbadano zasoby i stwierdzono, że działają one zgodnie ze wskazanym alertem zachowaniem.

Po zakończeniu badania alertu wybierz akcję, aby poinformować Centrum partnerskie o wykrytej akcji. Wybranie akcji oznacza alert Rozwiązany. Wybrana akcja wskazuje przyczynę (czyli wartość Przyczyna ) przyczyny rozwiązania alertu.

Informacje o zasobach

Sekcja Informacje o zasobach zawiera szczegółowe informacje o zasobach, które były zaangażowane w wykrywanie, które spowodowało alert. W tym przykładzie istnieje maszyna wirtualna o nazwie badvmtest w grupie zasobów o nazwie testserver. Wartości Czas pierwszego połączenia i Czas ostatniego połączenia wskazują, kiedy po raz pierwszy wykryliśmy ten zasób, kontaktując się ze znaną pulą wydobywczą i ostatni raz, kiedy to zaobserwowaliśmy.

Dodatkowe informacje

Sekcja Dodatkowe informacje zawiera szczegółowe informacje o zachowaniu, które zawiera zasób, jeśli są dostępne. W tym przykładzie maszyna wirtualna badvmtest komunikuje się z adresem IP znanej puli wyszukiwania. W sekcji Informacje o zasobie pokazano, że jest on połączony z adresem IP cztery razy między czasem pierwszego połączenia a czasem ostatniego połączenia.

Zasoby

W sekcji Zasoby skorzystaj z linków, aby dowiedzieć się więcej o alertach i o tym, co należy zrobić po otrzymaniu alertu.

Sekcja dolna

W dolnej części strony szczegółów alertu są wyświetlane trzy przyciski akcji, które można wykonać.

Zrzut ekranu przedstawiający dół alertu zabezpieczeń z opcjami anulowania subskrypcji, zarządzania subskrypcją lub powrotu do alertów.

  • Anuluj subskrypcję: aby użyć tej akcji, musisz mieć zarówno rolę administratora globalnego, jak i agenta administratora. Jeśli badanie alertu wskazuje, że nieautoryzowana strona zastąpi subskrypcję platformy Azure, możesz wybrać pozycję Anuluj subskrypcję , aby cofnąć przydział wszystkich zasobów w subskrypcji platformy Azure i oznaczyć wszystkie dane w subskrypcji do usunięcia po okresie przechowywania.

    Przed podjęciem tej akcji zalecamy komunikowanie się z klientem o alercie i (jeśli to możliwe) uzyskanie zgody na anulowanie subskrypcji. Po wybraniu przycisku zostanie wyświetlone okno dialogowe z prośbą o potwierdzenie, że rozumiesz wpływ tej akcji.

    Zrzut ekranu przedstawiający okno dialogowe anulowania subskrypcji z opcjami powrotu i kontynuowania anulowania.

    Aby anulować subskrypcję platformy Azure, wybierz pozycję Kontynuuj z anulowaniem. Po wybraniu pozycji Kontynuuj anulowanie subskrypcja zostanie anulowana, a wszystkie alerty dla tej subskrypcji zostaną oznaczone jako Rozwiązane z przyczyną Oszustwa.

    Aby uzyskać więcej informacji, zobacz Anulowanie subskrypcji platformy Azure.

  • Zarządzanie subskrypcją: ta akcja powoduje przejście do witryny Azure Portal przy użyciu pozycji Admin on Behalf of (AOBO). Na podstawie poziomu dostępu przyznanego Użytkownikowi może być możliwe dalsze zbadanie zasobów wskazanych w szczegółach alertu. Aby uzyskać więcej informacji, zobacz Zarządzanie subskrypcjami i zasobami w ramach planu platformy Azure.

  • Powrót do alertów: ta akcja zwraca Cię do pulpitu nawigacyjnego Alerty zabezpieczeń z listą alertów.

Akcje na pulpicie nawigacyjnym Alerty zabezpieczeń

Nad listą alertów na pulpicie nawigacyjnym Alerty zabezpieczeń są dwie akcje, które można wykonać.

Zrzut ekranu przedstawiający pulpit nawigacyjny Alerty zabezpieczeń oraz opcje anulowania subskrypcji i eksportowania informacji.

  • Anuluj subskrypcję: aby użyć tej akcji, musisz mieć zarówno rolę administratora globalnego, jak i agenta administratora. Jeśli badanie alertu wskazuje, że nieautoryzowana strona zastąpi subskrypcję platformy Azure, możesz wybrać pozycję Anuluj subskrypcję , aby cofnąć przydział wszystkich zasobów w subskrypcji platformy Azure i oznaczyć wszystkie dane w subskrypcji do usunięcia po okresie przechowywania.

    Przed podjęciem tej akcji zalecamy komunikowanie się z klientem o alercie i (jeśli to możliwe) uzyskanie zgody na anulowanie subskrypcji. Po wybraniu przycisku zostanie wyświetlone okno dialogowe z prośbą o potwierdzenie, że rozumiesz wpływ tej akcji.

    Aby anulować subskrypcję platformy Azure, wybierz pozycję Kontynuuj z anulowaniem.

    Zrzut ekranu przedstawiający okno dialogowe potwierdzenia anulowania subskrypcji.

  • Eksportuj: jeśli chcesz wyeksportować wszystkie szczegółowe informacje o alertach, możesz użyć akcji Eksportuj , aby pobrać plik wartości rozdzielanej przecinkami (CSV), który zawiera informacje o alercie.

    Ta akcja powoduje utworzenie pliku CSV z tylko wyświetlanymi alertami. Aby dostosować alerty, które chcesz wyeksportować, użyj opcji Filtruj.

Powiązana zawartość