Обнаружение оповещений системы безопасности и реагирование на них

Соответствующие роли: агент по администрированию

Применимо к: прямые счета в "Центре партнеров" и косвенные провайдеры

Вы можете подписаться на новое оповещение системы безопасности для обнаружения событий, связанных со злоупотреблениями со стороны посторонних лиц и взломом учетных записей. Это оповещение системы безопасности является одним из многих способов, которым корпорация Майкрософт предоставляет данные, необходимые для защиты клиентов. Вы можете подписаться на новое уведомление о безопасности для выявления случаев злоупотребления третьими лицами и захвата учетных записей. Это оповещение системы безопасности является одним из многих способов, которым корпорация Майкрософт предоставляет данные, необходимые для защиты клиентов.

Внимание

В качестве партнера в программе поставщиков облачных решений (CSP) вы несете ответственность за использование Azure их клиентами, поэтому важно быть в курсе любого аномального использования в подписках Azure ваших клиентов. Используйте оповещения системы безопасности Microsoft Azure для обнаружения шаблонов мошеннических действий и неправильного использования в ресурсах Azure, чтобы снизить риск онлайн-транзакций. Оповещения системы безопасности Microsoft Azure не обнаруживают все типы мошеннических действий или неправильного использования, поэтому важно использовать дополнительные методы мониторинга для обнаружения аномального использования в подписках Azure клиента. Дополнительные сведения см. в Управление неплатежами, мошенничеством или злоупотреблением и Управлении учетными записями клиентов.

Необходимые действия. При мониторинге и осведомленности о сигнале можно принять немедленные меры, чтобы определить, является ли поведение законным или мошенническим. При необходимости вы можете приостановить затронутые ресурсы Azure или подписки Azure, чтобы устранить проблему.

Убедитесь, что предпочтительный адрес электронной почты для администраторов агентов партнера — это up-to-date, чтобы они уведомлялись вместе с лицами, ответственными за безопасность.

Оформить подписку на оповещения системы безопасности

Вы можете подписаться на различные уведомления партнеров на основе вашей роли.

Оповещения системы безопасности уведомляют вас, когда подписка Azure клиента отображает возможные аномальные действия.

Получение оповещений по электронной почте

1. Войдите в Центр партнеров и выберите Уведомления (колокольчик).
2. Выберите Мои предпочтения.
3. Задайте предпочтительный адрес электронной почты, если вы еще не установили его.
4. Задайте предпочтительный язык для уведомления, если он еще не задан.
5. Выберите "Изменить " рядом с настройками уведомления электронной почты.
6. Отметьте все флажки, относящиеся к клиентам в столбце Рабочая область. (Чтобы отменить подписку, отмените выбор раздела транзакций в рабочей области клиента.)
7. Выберите Сохранить.

Мы отправляем оповещения системы безопасности, когда обнаруживаем возможные угрозы безопасности или возможное неправомерное использование в некоторых подписках Microsoft Azure ваших клиентов. Существует три типа сообщений электронной почты:

• Ежедневная сводка неразрешенных оповещений системы безопасности (количество партнеров, клиентов и подписок, затронутых различными типами оповещений)
• Оповещения о безопасности в режиме почти реального времени. Чтобы получить список подписок Azure с потенциальными проблемами безопасности, см. Получение событий мошенничества.
• Уведомления о безопасности практически в режиме реального времени. Эти уведомления обеспечивают видимость уведомлений, отправленных клиенту при наличии оповещения системы безопасности.

партнёры, являющиеся поставщиками облачных решений (CSP), с возможностью прямого выставления счетов, могут видеть больше оповещений о действиях, например, аномальное использование вычислений, криптомайнинг, использование возможностей машинного обучения Azure и уведомления о состоянии работоспособности служб. партнеры-продавцы с прямым выставлением счетов (CSP) могут видеть больше оповещений о действиях, например, аномальное использование вычислительных ресурсов, криптодобыча, использование Azure Machine Learning и уведомления о работоспособности служб.

Получение оповещений через вебхук

Партнеры могут регистрироваться на событие веб-перехватчика: azure-fraud-event-detected, чтобы получать оповещения о событиях изменения ресурсов. Дополнительные сведения см. в разделе событий веб-перехватчика в Центре партнеров.

Просмотр оповещений и реагирование на них с помощью панели мониторинга оповещений системы безопасности

Партнеры CSP могут получить доступ к панели мониторинга оповещений центра партнеров для обнаружения и реагирования на сигналы. Дополнительные сведения см. в разделе Реагирование на события безопасности с помощью панели мониторинга оповещений центра партнеров. Партнеры CSP могут получить доступ к панели мониторинга оповещений Центра партнеров для обнаружения и реагирования на оповещения. Дополнительные сведения см. в разделе Реагирование на события безопасности с помощью панели мониторинга оповещений центра партнеров.

Получение сведений об оповещении с помощью API

Сведения об оповещении можно получить с помощью API оповещений системы безопасности Microsoft Graph.

Использование нового API оповещений системы безопасности Microsoft Graph (бета-версия)

Преимущества. Начиная с мая 2024 г. доступна предварительная версия API оповещений системы безопасности Microsoft Graph. Этот API предоставляет единый интерфейс API-шлюза для других служб Microsoft, таких как Microsoft Entra ID, Teams и Outlook.

требования к подключению. Для использования нового API бета-версии оповещений системы безопасности требуется подключение партнеров CSP. Дополнительные сведения см. в статье Использование API оповещений о безопасности партнеров в Microsoft Graph.

В ближайшее время ожидается выпуск API оповещений системы безопасности Microsoft Graph версии 1.

Вариант использования	Программные интерфейсы
Подключитесь к API Microsoft Graph для получения токена доступа	Получите доступ от имени пользователя
Перечислите оповещения системы безопасности для получения информации об этих оповещениях.	Перечисление предупреждений о безопасности
Получите оповещения системы безопасности, чтобы получить представление о конкретном оповещении на основе выбранного параметра запроса.	Получить уведомление безопасности партнёра
Получение токена для вызова API Центра партнеров для получения сведений справочного характера	Включить безопасную модель приложения
Получение сведений о профиле организации	Получите профиль организации
Получение сведений о клиенте по идентификатору	Получить клиента по идентификатору
Получение сведений о косвенных посредниках клиента по идентификатору	Получить партнеров клиента
Получение сведений о подписке клиента по идентификатору	Получите подписку по идентификатору
Обновление состояния оповещений и разрешение при устранении рисков	Обновить partnerSecurityAlert

Поддержка существующего API FraudEvents

Внимание

Устаревший API событий мошенничества будет выведен из эксплуатации в четвертом квартале календарного 2024 года. Дополнительные сведения см. в ежемесячных объявлениях по безопасности Центра партнеров. Партнеры CSP должны перейти на новый API оповещений системы безопасности Microsoft Graph, который теперь доступен в предварительной версии.

В течение переходного периода партнеры CSP могут продолжать использовать API FraudEvents для получения дополнительных сигналов обнаружения с помощью X-NewEventsModel. С помощью этой модели вы можете получить новые типы оповещений по мере их добавления в систему. Например, вы можете получить аномальное использование вычислительных ресурсов, криптографический анализ, использование машинного обучения Azure и уведомления о работоспособности служб. Новые типы оповещений можно добавить с ограниченным уведомлением, так как угрозы также развиваются. Если вы используете специальную обработку с помощью API для различных типов оповещений, отслеживайте эти API для изменений:

• Получение событий мошенничества
• Обновить статус события мошенничества

Что делать при получении уведомления об оповещении системы безопасности

В следующем контрольном списке приведены предлагаемые следующие шаги для реагирования на уведомление о безопасности.

• Убедитесь, что уведомление электронной почты является допустимым. При отправке оповещений системы безопасности они отправляются из Microsoft Azure с адресом электронной почты: no-reply@microsoft.com Партнеры получают уведомления только от Корпорации Майкрософт.
• Когда вы получите уведомление, вы также увидите оповещение электронной почты на портале Центра действий. Щелкните значок колокола, чтобы просмотреть оповещения Центра уведомлений.
• Просмотрите подписки Azure. Определите, является ли действие в подписке законным и ожидаемым или может ли действие быть вызвано несанкционированным злоупотреблением или мошенничеством.
• Сообщите нам, что вы нашли, с помощью панели мониторинга оповещений системы безопасности или из API. Чтобы узнать больше о использовании API, ознакомьтесь с разделом Обновление статуса события мошенничества. Используйте следующие категории, чтобы описать найденные сведения:
  • Законный — это ожидаемая активность или ложно-положительный сигнал.
  • Мошенничество — это действие связано с несанкционированным злоупотреблением или мошенничеством.
  • Игнорировать . Действие является старым оповещением и должно быть проигнорировано. Дополнительные сведения см. в статье Почему партнеры получают старые оповещения системы безопасности?.

Какие другие шаги можно предпринять, чтобы снизить риск компрометации?

• Включите многофакторную проверку подлинности (MFA) для клиентов и партнеров. Учетные записи, имеющие разрешения на управление подписками Azure клиентов, должны соответствовать MFA. Дополнительные сведения см. в рекомендациях по обеспечению безопасности поставщиков облачных решений и рекомендации по обеспечению безопасности клиентов.
• Настройте оповещения для мониторинга разрешений доступа на основе ролей Azure (RBAC) для подписок Azure клиентов. Дополнительные сведения см. в плане Azure - Управление подписками и ресурсами.
  • Изменения разрешений аудита для подписок Azure клиентов. Просмотрите журнал активности Azure Monitor для действий, связанных с подпиской Azure.
• Просмотрите аномалии в расходах относительно вашего бюджета трат в управлении затратами Azure.
• Обучайте и взаимодействуйте с клиентами, чтобы сократить объем неиспользуемой квоты и предотвратить возможный ущерб в подписке Azure: Quotas overview - Azure Quotas.
  • Отправить запрос на управление квотой Azure: Как создать запрос в поддержку Azure - поддержка возможностей Azure
  • Проверьте текущее использование квоты: Справочник по REST API квоты Azure
  • Если вы выполняете критически важные рабочие нагрузки, требующие высокой емкости, рассмотрите возможность резервирования емкости по запросу или использование зарезервированных экземпляров виртуальных машин Azure.

Что делать, если подписка Azure скомпрометирована?

Выполните немедленные действия для защиты учетной записи и данных. Ниже приведены некоторые предложения и советы по быстрому реагированию и сдерживанию потенциального инцидента, чтобы снизить его влияние и общий риск для бизнеса.

Устранение скомпрометированных идентификаций в облачной среде имеет решающее значение для обеспечения общей безопасности облачных систем. Скомпрометированные идентичности могут предоставить злоумышленникам доступ к конфиденциальным данным и ресурсам, что делает необходимым принятие срочных мер для защиты учетной записи и данных.

• Немедленно измените учетные данные для:

  • Администраторы арендаторов и доступ на основе ролей (RBAC) в подписках Azure Что такое управление доступом на основе ролей Azure (Azure RBAC)?
  • Следуйте инструкциям по паролю. Рекомендации по политике паролей
  • Убедитесь, что все администраторы клиента и владельцы RBAC зарегистрированы и включены MFA.

• Проверьте и подтвердите все электронные письма и номера телефонов для восстановления паролей администратора в Microsoft Entra ID. При необходимости обновите их. Рекомендации по политике паролей

• Проверьте, какие пользователи, тенанты и подписки подвергаются риску в портале Azure.

  • Изучите риск, перейдя на Microsoft Entra ID, чтобы просмотреть отчеты о рисках функции "Защита идентификации". Дополнительные сведения см. в статье Исследование рисков и защита идентификаторов Microsoft Entra.
  • Требования к лицензиям для защиты учетных данных
  • Устранение рисков и разблокирование пользователей
  • Опыт пользователей с Microsoft Entra ID Protection

• Просмотрите журналы входа Microsoft Entra в клиенте, чтобы увидеть необычные шаблоны входа в период, когда срабатывает сигнал тревоги безопасности.

После вытеснения вредоносных субъектов очистите скомпрометированные ресурсы. Следите за затронутой подпиской, чтобы убедиться, что дальнейшие подозрительные действия отсутствуют. Кроме того, рекомендуется регулярно просматривать журналы и следы аудита, чтобы убедиться, что ваша учетная запись безопасна.

• Проверьте наличие несанкционированной активности в журнале действий Azure, например, изменения в выставлении счетов, использовании для неучтенных единиц коммерческого потребления или конфигураций.
• Просмотрите аномалии расходов по сравнению с бюджетом клиента в управлении затратами Azure.
• Отключите или удалите все скомпрометированные ресурсы:
  • Определите и устраните злоумышленника: используйте ресурсы безопасности Microsoft и Azure, чтобы помочь восстановиться от системного компрометирования удостоверений.
  • Проверьте журнал действий Azure на изменения уровня подписки.
  • Разблокировать и удалить все ресурсы, созданные несанкционированной стороной. Посмотрите видео "Как поддерживать чистоту вашей подписки Azure: советы и рекомендации"
  • Вы можете отменить подписки Azure клиентов через API (Отмена права Azure) или через портал Центра партнеров.
  • Обратитесь на поддержку Azure немедленно и сообщите об инциденте
  • Очистите хранилище после события: Найдите и удалите неподключенные управляемые и неуправляемые диски Azure — виртуальные машины Azure

Предотвращение компрометации учетной записи проще, чем восстановление. Поэтому важно укрепить вашу защиту.

• Просмотрите квоту для подписок Azure клиентов и отправьте запрос, чтобы уменьшить неиспользуемую квоту. Дополнительные сведения см. в разделе Сокращение квоты.
• Просмотрите и примените лучшие практики безопасности поставщика облачных решений.
• Работайте с вашими клиентами, чтобы изучить и внедрить Лучшие практики обеспечения безопасности клиентов.
• Убедитесь, что Defender for Cloudвключен (для этой службы доступен бесплатный уровень).
• Убедитесь, что Defender для облакавключен (для этой службы доступен бесплатный уровень).

Дополнительные сведения см. в статье поддержке.

Дополнительные средства для мониторинга

• Установка оповещений из портала Azure
• Установите расходный бюджет Azure для клиентов

Подготовка конечных клиентов

Корпорация Майкрософт отправляет уведомления в подписки Azure, которые непосредственно направляются вашим конечным клиентам. Обратитесь к конечному клиенту, чтобы убедиться, что они могут правильно действовать и предупреждают о различных проблемах безопасности в своей среде:

• Настройте оповещения об использовании с помощью Azure Monitor или Azure Cost Management.
• Настройте оповещения о состоянии службы, чтобы получать другие уведомления от Microsoft о безопасности и связанных с ней проблемах.
• Обратитесь к администратору арендатора вашей организации (если управление не осуществляется партнёром), чтобы внедрить дополнительные меры безопасности на вашем арендаторе (см. следующий раздел).

Дополнительные сведения о защите клиента

• Рассмотрите и внедрите лучшие практики операционной безопасности для ваших ресурсов Azure.
• Внедрите многофакторную проверку подлинности для усиления защиты вашей личности.
• Реализуйте политики риска и оповещения для пользователей с высоким уровнем риска и входов в систему:Что такое Защита идентификации Microsoft Entra?

Если вы подозреваете несанкционированное использование подписки Azure, принадлежащей вам или вашему клиенту, обратитесь в службу поддержки Microsoft Azure, чтобы Microsoft могла помочь быстро решить любые другие вопросы или проблемы.

Если у вас есть конкретные вопросы, касающиеся Центра партнеров, отправьте запрос в службу поддержки в Центре партнеров. Дополнительные сведения: Получите поддержку в Центре партнеров.

Проверка уведомлений системы безопасности в журналах действий

1. Войдите в Партнерский центр и выберите значок настроек (в виде шестеренки) в правом верхнем углу, а затем перейдите в раздел "Настройки учетной записи".
2. Перейдите к журналам действий на левой панели.
3. Задайте даты От и До в верхнем фильтре.
4. В разделе "Фильтр по типу операции" выберите обнаруженное событие мошенничества Azure. Вы должны увидеть все события оповещений системы безопасности, обнаруженные в течение выбранного периода.

Почему партнеры получают старые оповещения системы безопасности Azure?

Корпорация Майкрософт отправляет оповещения о мошенничестве Azure с декабря 2021 года. Однако ранее оповещение основывалось только на предпочтении подписки, где партнёры должны были дать согласие на получение уведомлений. Мы изменили это поведение. Партнёрам теперь следует разрешить все открытые оповещения о мошенничестве (включая старые). Чтобы обеспечить ваши меры безопасности и защиту клиентов, следуйте рекомендациям по обеспечению безопасности для поставщиков облачных решений.

Корпорация Майкрософт отправляет сводку по ежедневному мошенничеству (это количество партнеров, клиентов и подписок), если в течение последних 60 дней существует активное неразрешимое предупреждение о мошенничестве. Корпорация Майкрософт отправляет сводку по ежедневному мошенничеству (это количество партнеров, клиентов и подписок), если в течение последних 60 дней существует активное неразрешимое предупреждение о мошенничестве.

Почему я не вижу всех оповещений?

Уведомления об оповещениях системы безопасности ограничены обнаружением шаблонов определенных аномальных действий в Azure. Уведомления системы безопасности не обнаруживают и не гарантируют обнаружение всех аномальных поведений. Важно использовать альтернативные методы мониторинга, чтобы помочь в обнаружении аномального использования в подписках клиента на Azure, таких как ежемесячные бюджеты расходов на Azure. Если вы получаете оповещение, которое является значительным и является ложным отрицательным, обратитесь в службу поддержки партнеров и предоставьте следующие сведения:

• Идентификатор арендатора партнера
• Идентификатор арендатора клиента
• идентификатор подписки
• ИД ресурса
• Даты начала и окончания влияния

Связанный контент

• Интегрируйтесь с API оповещений системы безопасности и зарегистрируйте веб-перехватчик.