Реагирование на события безопасности с помощью панели мониторинга оповещений системы безопасности
Соответствующие роли: агент администрирования
Область применения: партнеры по прямому выставлению счетов в Центре партнеров и косвенные поставщики
Панель мониторинга оповещений центра партнеров помогает быстро реагировать на безопасность, мошенничество и другие события, происходящие в Центре партнеров или клиенте клиента.
Программные интерфейсы
Если у вас несколько клиентов Microsoft Entra в Центре партнеров, можно использовать следующие API для получения и обновления оповещений вместо панели мониторинга оповещений системы безопасности:
- Уведомление о мошенничестве Azure. Получение событий мошенничества
- Уведомление о мошенничестве в Azure: обновление состояния события мошенничества.
Необходимые компоненты
Чтобы использовать панель мониторинга оповещений системы безопасности Центра партнеров, учетная запись пользователя должна быть назначена роль агента администрирования.
Важность своевременного реагирования на оповещения
Когда на панели мониторинга создается оповещение, критически важно, чтобы устранить инцидент, который вызвал оповещение как можно скорее. В качестве руководящих принципов мы рекомендуем отвечать на оповещения в течение одного часа. Для типа оповещений о мошенничестве, чем больше времени требуется реагировать на инцидент и устранять инцидент, который вызвал оповещение, тем больше потенциальное финансовое влияние.
Открытие панели мониторинга
Чтобы открыть панель мониторинга оповещений системы безопасности Центра партнеров, выполните следующие действия.
- Войдите в Центр партнеров в качестве пользователя с ролью агента администрирования.
- Выберите рабочую область Insights .
- В меню слева в разделе "Безопасность" выберите "Оповещения".
Эту ссылку можно также использовать для перехода непосредственно на панель мониторинга.
Просмотр оповещений
На панели мониторинга отображаются сведения о следующих категориях оповещений.
- Среднее время: среднее время реагирования и разрешения оповещений за последние 30 дней.
- Новые события на этой неделе: количество новых оповещений за последние семь дней.
- Разрешено: количество оповещений, которые разрешены с указанной причиной (например, законным или мошенничеством).
- Неразрешенный: количество неразрешенных оповещений, требующих внимания.
В нижнем разделе панели мониторинга перечислены оповещения, влияющие на клиент Центра партнеров, в котором вы вошли.
В таблице есть следующие столбцы:
- Имя оповещения: общие сведения об обнаружении.
- Идентификатор подписки: идентификатор, который отображается при обнаружении оповещения в определенной подписке Azure.
- Идентификатор оповещения: уникальный идентификатор оповещения.
- Состояние оповещения: состояние оповещения (активный или разрешенный).
- Первое наблюдаемое: первый раз, когда появилось оповещение.
- Последнее наблюдаемое: последнее время появления оповещения.
- Тип оповещения: тип обнаруженного действия и вызвавшего оповещение. Существует два типа оповещений:
- Уведомление Azure. Указывает, что сообщение было отправлено клиенту затронутой подписки Azure и отображается как уведомление о работоспособности служб. Копия этого сообщения отображается в сведениях об оповещении.
- Использование Azure. Указывает либо необычное увеличение активности в подписке Azure, либо аномальное действие, возникающее в подписке, например добыча криптовалют.
- Серьезность: уровень срочности реагирования на оповещение.
Для изменения оповещений на панели мониторинга оповещений можно использовать параметр фильтра.
Вы можете использовать функцию поиска для поиска всех оповещений, которые вы вводите в поле. Результаты поиска включают следующие сведения:
- ИД подписки
- Идентификатор оповещения
- Имя клиента
Действия на странице сведений об оповещении
Чтобы отобразить дополнительные сведения об оповещении, выберите имя оповещения. Например, в следующем примере оповещения показано поведение, связанное с добычей криптовалют, происходящим в подписке Azure.
Верхний раздел
В верхней части страницы сведений об оповещении отображаются сведения о клиенте и торговом посреднике (если применимо).
Описание предупреждения
В разделе описания оповещений представлен обзор причины возникновения оповещения, а также действия по изучению.
Затронутые ресурсы
Раздел "Затронутые ресурсы " содержит два действия:
- Пометить как допустимый: вы изучили ресурсы и либо не нашли никаких доказательств того, что оповещение указало или проверило с клиентом, что поведение ожидается.
- Пометить как мошенничество: вы изучили ресурсы и обнаружили, что они выполняют поведение, указывающее оповещение.
После завершения исследования оповещения выберите действие, чтобы сообщить Центру партнеров о том, что вы обнаружили. Выбор действия помечает разрешенное оповещение. Выбранное действие указывает причину (т . е. значение причины ), почему вы разрешаете оповещение.
Сведения о ресурсе
В разделе сведений о ресурсах содержатся сведения о ресурсах, участвующих в обнаружении, вызвавшей оповещение. В этом примере в группе ресурсов с именем testserver есть виртуальная машина с именем badvmtest. Первое время подключения и значения времени последнего подключения указывают, когда мы впервые обнаружили этот ресурс, связавшийся с известным пулом интеллектуального анализа данных, и последнее время, которое мы наблюдали.
Дополнительная информация:
В разделе "Дополнительные сведения" содержатся сведения о поведении, которое предоставляет ресурс, если он доступен. В этом примере виртуальная машина badvmtest взаимодействовала с IP-адресом известного пула интеллектуального анализа данных. В разделе сведений о ресурсе показано, что он подключен к IP-адресу четыре раза между временем первого подключения и временем последнего подключения.
Ресурсы
В разделе "Ресурсы" используйте ссылки, чтобы узнать больше о оповещениях и о том, что делать при получении оповещения.
Нижний раздел
В нижней части страницы сведений об оповещении показаны три кнопки для действий, которые можно предпринять.
Отмена подписки. Для использования этого действия необходимо использовать роли глобального администратора и агента администрирования. Если расследование оповещения указывает на то, что несанкционированная сторона перенаправила подписку Azure, вы можете выбрать "Отмена подписки ", чтобы освободить все ресурсы в подписке Azure и пометить все данные в подписке для удаления после периода хранения.
Прежде чем принять это действие, рекомендуется связаться с клиентом об оповещении и (по возможности) получить свое согласие на отмену подписки. При нажатии кнопки появится диалоговое окно и попросит вас подтвердить, что вы понимаете влияние этого действия.
Чтобы отменить подписку Azure, нажмите кнопку "Продолжить с отменой". При нажатии кнопки "Продолжить отмены" подписка отменяется, а все оповещения для этой подписки помечены как "Разрешено " по причине мошенничества.
Дополнительные сведения см. в статье "Отмена подписки Azure".
Управление подпиской. Это действие принимает вас к портал Azure с помощью администратора от имени (AOBO). На основе уровня доступа, предоставленного клиенту, вы можете продолжить изучение ресурсов, указанных в сведениях о оповещении. Дополнительные сведения см. в разделе "Управление подписками и ресурсами" в рамках плана Azure.
Вернитесь к оповещениям: это действие возвращает вас на панель мониторинга оповещений системы безопасности с списком оповещений.
Действия на панели мониторинга оповещений системы безопасности
Над списком оповещений на панели мониторинга оповещений системы безопасности можно выполнить два действия.
Отмена подписки. Для использования этого действия необходимо использовать роли глобального администратора и агента администрирования. Если расследование оповещения указывает на то, что несанкционированная сторона перенаправила подписку Azure, вы можете выбрать "Отмена подписки ", чтобы освободить все ресурсы в подписке Azure и пометить все данные в подписке для удаления после периода хранения.
Прежде чем принять это действие, рекомендуется связаться с клиентом об оповещении и (по возможности) получить свое согласие на отмену подписки. При нажатии кнопки появится диалоговое окно и попросит вас подтвердить, что вы понимаете влияние этого действия.
Чтобы отменить подписку Azure, нажмите кнопку "Продолжить с отменой".
Экспорт. Если вы хотите экспортировать все подробные сведения об оповещениях, можно с помощью действия экспорта скачать ФАЙЛ с разделим запятыми (CSV-файл), содержащий сведения об оповещении.
Это действие создает CSV-файл только с оповещениями, которые вы просматриваете в настоящее время. Чтобы настроить оповещения, которые требуется экспортировать, используйте параметр "Фильтр ".