Detetar e responder a alertas de segurança
Funções apropriadas: Agente de administração
Aplica-se a: Partner Center Direct Bill e Provedores Indiretos
Pode subscrever um novo alerta de segurança para deteções relacionadas com abuso de partes não autorizadas e aquisições de contas. Este alerta de segurança é uma das muitas formas como a Microsoft fornece os dados de que necessita para proteger os inquilinos do seu cliente. Pode subscrever um novo alerta de segurança para deteções relacionadas com abuso de partes não autorizadas e aquisições de contas. Este alerta de segurança é uma das muitas formas como a Microsoft fornece os dados de que necessita para proteger os inquilinos do seu cliente.
Importante
Como parceiro no programa Fornecedor de Soluções na Nuvem (CSP), é responsável pelo consumo do Azure dos seus clientes, por isso é importante que esteja ciente de qualquer utilização anómala nas subscrições do Azure do seu cliente. Use alertas de segurança do Microsoft Azure para detetar padrões de atividades fraudulentas e uso indevido nos recursos do Azure para ajudar a reduzir sua exposição a riscos de transações online. Os alertas de segurança do Microsoft Azure não detetam todos os tipos de atividades fraudulentas ou uso indevido, por isso é fundamental que você use métodos extras de monitoramento para ajudar a detetar o uso anômalo nas assinaturas do Azure do seu cliente. Para obter mais informações, consulte Gerir casos de não pagamento, fraude ou uso indevido e Gerir contas de clientes.
Ação necessária: Com monitoramento e conscientização de sinais, você pode tomar medidas imediatas para determinar se o comportamento é legítimo ou fraudulento. Se necessário, pode suspender os recursos do Azure ou as assinaturas do Azure afetadas para mitigar um problema.
Certifique-se de que o endereço de e-mail preferido dos seus Agentes Administradores de Parceiros esteja up-toatualizado, para que sejam notificados juntamente com os contactos de segurança.
Subscrever notificações de alertas de segurança
Pode subscrever várias notificações de parceiros com base na sua função.
Os alertas de segurança notificam-no quando a subscrição do Azure do seu cliente mostra possíveis atividades anómalas.
Receba alertas por e-mail
- Inicie sessão no Partner Center e selecione Notificações (campainha).
- Selecione As minhas preferências.
- Defina um endereço de e-mail preferido se ainda não tiver definido um.
- Defina o idioma preferido para a notificação, caso ainda não o tenha definido.
- Selecione Editar ao lado de Preferências de notificação por e-mail.
- Marque todas as caixas relacionadas a Clientes na coluna Espaço de trabalho . (Para cancelar a inscrição, desmarque a seção transacional no espaço de trabalho do cliente.)
- Selecione Guardar.
Enviamos alertas de segurança quando detetamos possíveis atividades de alerta de segurança ou utilização indevida em algumas das subscrições do Microsoft Azure dos seus clientes. Existem três tipos de e-mails:
- Resumo diário de alertas de segurança não resolvidos (contagem de parceiros, clientes e subscrições afetadas por vários tipos de alerta)
- Alertas de segurança em quase tempo real. Para obter uma lista de assinaturas do Azure que apresentam potenciais preocupações de segurança, consulte "Eventos de fraude."
Notificações de avisos de segurança quase em tempo real . Essas notificações fornecem visibilidade sobre as notificações enviadas ao cliente quando há um alerta de segurança.
Os parceiros de faturação direta do Fornecedor de Soluções na Nuvem (CSP) podem ver mais alertas para atividades, por exemplo: utilização anómala de computação, mineração de criptomoedas, utilização do Azure Machine Learning e notificações de aconselhamento de estado de funcionamento do serviço. Os parceiros de faturação direta do Fornecedor de Soluções na Nuvem (CSP) podem ver mais alertas para atividades, por exemplo: utilização anómala de computação, mineração de criptomoedas, utilização do Azure Machine Learning e notificações de aconselhamento de estado de funcionamento do serviço.
Receba alertas através de um webhook
Os parceiros podem registar-se num evento webhook: azure-fraud-event-detected para receber alertas sobre eventos de alteração de recursos. Para obter mais informações, consulte eventos de webhook do Partner Center.
Ver e responder a alertas através do painel Alertas de Segurança
Os parceiros CSP podem aceder ao painel Alertas de Segurança do Partner Center para detetar e responder a alertas. Para obter mais informações, consulte Responder a eventos de segurança com o painel Alertas de Segurança do Partner Center. Os parceiros CSP podem aceder ao painel de Alertas de Segurança do Partner Center para detetar e responder a alertas. Para obter mais informações, consulte Responder a eventos de segurança com o painel Alertas de Segurança do Partner Center.
Obter detalhes de alerta através da API
Você pode obter detalhes de alerta por meio da API de Alertas de Segurança do Microsoft Graph.
Usar a nova API de Alertas de Segurança do Microsoft Graph (Beta)
Benefícios: A partir de maio de 2024, a versão de visualização da API de Alertas de Segurança do Microsoft Graph estará disponível. Essa API fornece uma experiência unificada de gateway de API em outros serviços da Microsoft, como Microsoft Entra ID, Teams e Outlook.
Requisitos de integração: Os parceiros CSP integrados são obrigados a usar a nova API Beta de Alertas de Segurança. Para obter mais informações, consulte Usar a API de alerta de segurança do parceiro no Microsoft Graph.
A versão V1 da API de Alertas de Segurança do Microsoft Graph estará disponível em breve.
| Caso de utilização | APIs |
|---|---|
| Integre a API do Microsoft Graph para obter o Token de Acesso | Obter acesso em nome de um utilizador |
| Listar alertas de segurança para obter visibilidade dos alertas | Listar alertas de segurança |
| Obtenha alertas de segurança para ter visibilidade de um alerta específico com base no parâmetro de consulta selecionado. | Obter partnerSecurityAlert |
| Obter token para chamar as APIs do Partner Center para obter informações de referência | Habilitar modelo de aplicação segura |
| Obter as informações do Perfil da sua Organização | Obtenha um perfil de organização |
| Obtenha as informações do seu Cliente por ID | Obter um cliente por ID |
| Obtenha informações dos Revendedores Indiretos de um Cliente por ID | Conseguir parceiros de um cliente |
| Obter informações de Subscrição do Cliente por ID | Obter uma subscrição através de ID |
| Atualizar o estado do alerta e resolvê-lo quando atenuado. | Atualizar AlertaDeSegurançaDoParceiro |
Suporte para a API FraudEvents existente
Importante
A API de eventos de fraude legada será descontinuada no quarto trimestre do ano civil de 2024. Para obter mais detalhes, fique atento aos anúncios mensais de segurança do Partner Center. Os parceiros CSP devem migrar para a nova API de Alertas de Segurança do Microsoft Graph, que agora está disponível em pré-visualização.
Durante o período de transição, os parceiros CSP podem continuar a usar a API FraudEvents para obter sinais de deteção adicionais usando X-NewEventsModel. Com este modelo, pode obter novos tipos de alertas à medida que são adicionados ao sistema. Por exemplo, você pode obter uso anômalo de computação, mineração de criptomoedas, uso do Azure Machine Learning e notificações de consultoria de integridade do serviço. Novos tipos de alertas podem ser adicionados com aviso limitado, porque as ameaças também estão evoluindo. Se você usar tratamento especial por meio da API para diferentes tipos de alerta, monitore essas APIs para alterações:
- Obter eventos de fraude
- Atualizar o estado do evento de fraude
O que fazer quando receber uma notificação de alerta de segurança
A lista de verificação a seguir fornece sugestões de próximas etapas sobre o que fazer quando você receber uma notificação de segurança.
- Verifique se a notificação por e-mail é válida. Quando enviamos alertas de segurança, eles são enviados do Microsoft Azure, com o endereço de email:
no-reply@microsoft.com. Os parceiros só recebem notificações da Microsoft. - Quando for notificado, também pode ver o alerta por e-mail no portal do Centro de Ação. Selecione o ícone de sino para ver os alertas da Central de Ações.
- Reveja as subscrições do Azure. Determine se a atividade na assinatura é legítima e esperada, ou se a atividade pode ser devida a abuso ou fraude não autorizados.
- Diga-nos o que encontrou, através do painel Alertas de Segurança ou da API. Para saber mais sobre como usar a API, consulte Atualizar o estado do evento de fraude. Use as seguintes categorias para descrever o que encontrou:
- Legítimo - A atividade é esperada ou um sinal falso positivo.
- Fraude - A atividade é devida a abuso ou fraude não autorizados.
- Ignorar - A atividade é um alerta antigo e deve ser ignorada. Para obter mais informações, consulte Por que os parceiros estão recebendo alertas de segurança mais antigos?.
Que outras medidas pode tomar para reduzir o risco de comprometimento?
- Ative a autenticação multifator (MFA) nos seus locatários clientes e parceiros. As contas que têm permissões para gerenciar as assinaturas do Azure dos clientes precisam ser compatíveis com MFA. Para obter mais informações, consulte práticas recomendadas de segurança do Provedor de Soluções na Nuvem e Práticas recomendadas de segurança do Cliente.
- Configure alertas para monitorar suas permissões de acesso RBAC (controle de acesso baseado em função) do Azure nas assinaturas do Azure dos clientes. Para obter mais informações, consulte plano do Azure - Gerenciar assinaturas e recursos.
- Audite as alterações de permissão nas assinaturas do Azure de seus clientes. Analise o log de atividades do Azure Monitor para atividades relacionadas com a assinatura do Azure.
- Analise as anomalias de gastos face ao seu orçamento de despesas na gestão de custos do Azure.
- Eduque e trabalhe com os clientes para reduzir a quota em excesso a fim de evitar os impactos negativos na assinatura do Azure: Descrição geral das quotas - Quotas do Azure.
- Enviar pedido para gerir a quota do Azure: Como criar um pedido de suporte do Azure - Suporte do Azure
- Analise a utilização atual da quota: Referência da API REST de Quota do Azure
- Se estiver a executar cargas de trabalho críticas que exijam alta capacidade, considere reservas de capacidade sob demanda ou instâncias de máquinas virtuais reservadas do Azure.
O que você deve fazer se uma assinatura do Azure for comprometida?
Tome medidas imediatas para proteger a sua conta e os seus dados. Aqui estão algumas sugestões e dicas para responder rapidamente e conter um incidente potencial para reduzir seu impacto e o risco geral do negócio.
Remediar identidades comprometidas em um ambiente de nuvem é crucial para garantir a segurança geral dos sistemas baseados em nuvem. As identidades comprometidas podem fornecer aos atacantes acesso a dados e recursos confidenciais, tornando essencial tomar medidas imediatas para proteger a conta e os dados.
Altere imediatamente as credenciais para:
- Administradores de locatários e acesso RBAC em Assinaturas do Azure O que é o controle de acesso baseado em função do Azure (Azure RBAC)?
- Siga as orientações de senha. Recomendações de política de palavra-passe
- Certifique-se de que todos os administradores de clientes e responsáveis pelo RBAC tenham MFA registado e aplicado.
Revise e verifique todos os e-mails e números de telefone de recuperação de senha de usuário administrador dentro do Microsoft Entra ID. Atualize-os, se necessário. Recomendações para a política de palavras-passe
Analise quais utilizadores, locatários e assinaturas estão em risco no portal Azure.
- Investigue o risco indo a Microsoft Entra ID para revisar Relatórios de Risco da Proteção de Identidade. Para obter mais informações, consulte Investigue o risco na Proteção de ID do Microsoft Entra
- Requisitos de licença para proteção de identidade
- Remediar riscos e desbloquear utilizadores
- Experiências dos utilizadores com o Microsoft Entra ID Protection
Reveja os registos de acessos do Microsoft Entra no locatário do cliente para ver padrões de acesso invulgares na altura em que o alerta de segurança é ativado.
Depois que os agentes mal-intencionados forem removidos, limpe os recursos comprometidos. Fique de olho na assinatura afetada para garantir que não haja mais nenhuma atividade suspeita. Também é uma boa ideia rever regularmente os seus registos e pistas de auditoria para garantir que a sua conta está segura.
- Verifique se há alguma atividade não autorizada no Log de Atividades do Azure, por exemplo, alterações na nossa cobrança, uso para itens de linha de consumo comercial não faturados ou configurações.
- Analise as anomalias de gastos contra o orçamento do cliente no Azure Cost Management.
- Desative ou exclua todos os recursos comprometidos:
- Identificar e remover o agente de ameaça: use os recursos de segurança da Microsoft e do Azure para ajudar a recuperar-se do comprometimento sistémico de identidade.
- Verifique no Registo de Atividade do Azure quaisquer alterações ao nível da subscrição.
- Desaloque e remova quaisquer recursos criados por parte não autorizada. Veja Como manter limpa a sua subscrição do Azure | Dicas e Truques do Azure (vídeo)
- Pode cancelar as subscrições do Azure dos clientes através da API (Cancelar um direito do Azure) ou através do portal do Partner Center.
- Entre em contato com o suporte do Azure imediatamente e relate o incidente
- Limpar o armazenamento após o evento: Localizar e eliminar discos não anexados, geridos e não geridos, do Azure - Máquinas Virtuais do Azure
Evitar o comprometimento da conta é mais fácil do que recuperá-la. Por isso, é importante reforçar a sua postura de segurança.
- Revise a cota nas assinaturas do Azure dos clientes e envie a solicitação para reduzir a cota não utilizada. Para obter mais informações, consulte Reduzir Cota.
- Analise e implemente as melhores práticas de segurança para o Provedor de Soluções de Nuvem.
- Trabalhe com os seus clientes para aprender e implementar as Práticas de Segurança Recomendadas do Cliente.
- Certifique-se de que Defender for Cloud está ativado (há um nível gratuito disponível para este serviço).
- Certifique-se de que o Defender for Cloud está ligado (existe um nível gratuito disponível para este serviço).
Para obter mais informações, consulte o artigo suporte.
Mais ferramentas de monitorização
- Configurar alertas no portal do Azure
- Definir um orçamento do Azure para clientes
Como preparar os seus clientes finais
A Microsoft envia notificações para assinaturas do Azure, que vão para seus clientes finais. Trabalhe com seu cliente final para garantir que ele possa agir adequadamente e seja alertado sobre vários problemas de segurança em seu ambiente:
- Configure alertas de utilização com Azure Monitor ou Azure Cost management.
- Configure os Alertas de Saúde de Serviço para se manter informado sobre outras notificações da Microsoft sobre segurança e questões relacionadas.
- Trabalhe com o Administrador de Inquilinos da sua organização (se não for gerido pelo Parceiro) para impor medidas de segurança acrescidas ao seu inquilino (consulte a secção seguinte).
Informações adicionais para proteger o seu inquilino
- Analise e implemente as melhores práticas de segurança operacional para os seus ativos do Azure.
- Implemente a Autenticação Multifator para fortalecer a sua postura de segurança de identidade.
- Implementar políticas de risco e alertas para usuários e entradas de Alto Risco:O que é a Proteção de ID do Microsoft Entra?.
Se suspeitar de um uso não autorizado da sua subscrição do Azure ou da subscrição do Azure do seu cliente, contacte o Suporte da Microsoft Azure para que a Microsoft possa ajudar a resolver rapidamente quaisquer outras questões ou preocupações.
Se tiver perguntas específicas sobre o Partner Center, submeta um pedido de suporte no Partner Center. Para mais informações: Obtenha suporte no Partner Center.
Verificar notificações de segurança em Registos de atividades
- Inicie sessão no Partner Center e selecione o ícone de definições (engrenagem) no canto superior direito e, em seguida, selecione a área de trabalho de Definições da conta.
- Navegue até Registros de atividades no painel esquerdo.
- Defina as datas De e Para no filtro no topo.
- Em Filtrar por Tipo de Operação, selecione Evento de Fraude do Azure Detetado. Você deve ser capaz de ver todos os alertas de segurança Eventos detetados para o período selecionado.
Por que os parceiros estão recebendo alertas de segurança mais antigos do Azure?
A Microsoft tem enviado alertas de fraude do Azure desde dezembro de 2021. No entanto, no passado, a notificação de alerta baseava-se apenas na preferência de aceitação, em que os parceiros tinham de optar por receber uma notificação. Mudamos esse comportamento. Os parceiros devem agora resolver todos os alertas de fraude (incluindo alertas antigos) que estão abertos. Para proteger a sua postura de segurança e a dos seus clientes, siga as melhores práticas de segurança do Provedor de Soluções na Nuvem.
A Microsoft está enviando o resumo diário de fraudes (é a contagem de parceiros, clientes e assinaturas afetadas) se houver um alerta de fraude não resolvido ativo nos últimos 60 dias. A Microsoft está enviando o resumo diário de fraudes (é a contagem de parceiros, clientes e assinaturas afetadas) se houver um alerta de fraude não resolvido ativo nos últimos 60 dias.
Por que não estou vendo todos os alertas?
As notificações de alerta de segurança estão limitadas a detetar padrões de determinadas ações anômalas no Azure. As notificações de alerta de segurança não detetam e não é garantido que detetem todos os comportamentos anómalos. É fundamental que você use outros métodos de monitoramento para ajudar a detetar o uso anômalo nas assinaturas do Azure do seu cliente, como orçamentos mensais de gastos do Azure. Se receberes um alerta que seja significativo e um falso negativo, entra em contacto com a Assistência ao Parceiro e fornece as seguintes informações:
- ID do locatário do parceiro
- ID do Cliente Inquilino
- ID de Subscrição
- ID do Recurso
- Datas de início e fim de impacto
Conteúdos relacionados
- Integre com a API de Alertas de Segurança e registe um webhook.