Identifiera och svara på säkerhetsaviseringar
Lämpliga roller: Administratörsagent
**Gäller för**: Partnercenter Direktfakturering och Indirekta Leverantörer
Du kan prenumerera på en ny säkerhetsavisering för identifieringar som rör obehöriga partmissbruk och kontoövertaganden. Den här säkerhetsaviseringen är ett av många sätt som Microsoft tillhandahåller de data du behöver för att skydda kundens klientorganisationer. Du kan prenumerera på en ny säkerhetsavisering för identifieringar som rör obehöriga partmissbruk och kontoövertaganden. Den här säkerhetsaviseringen är ett av många sätt som Microsoft tillhandahåller de data du behöver för att skydda kundens klientorganisationer.
Viktigt!
Som partner i programmet Molnlösningsleverantör (CSP) ansvarar du för dina kunders Azure-förbrukning, så det är viktigt att du är medveten om all avvikande användning i kundens Azure-prenumerationer. Använd Microsoft Azure-säkerhetsaviseringar för att identifiera mönster för bedrägliga aktiviteter och missbruk i Azure-resurser för att minska din exponering för transaktionsrisker online. Microsoft Azure-säkerhetsaviseringar identifierar inte alla typer av bedrägliga aktiviteter eller missbruk, så det är viktigt att du använder extra övervakningsmetoder för att identifiera avvikande användning i kundens Azure-prenumerationer. Mer information finns i Hantera utebliven betalning, bedrägeri eller missbruk och Hantera kundkonton.
Åtgärd krävs: Med övervakning och signalmedvetenhet kan du vidta omedelbara åtgärder för att avgöra om beteendet är legitimt eller bedrägligt. Om det behövs kan du pausa berörda Azure-resurser eller Azure-prenumerationer för att åtgärda ett problem.
Se till att den önskade e-postadressen för dina partneradministratörsagenter är up-to-date, så att de meddelas tillsammans med säkerhetskontakterna.
Prenumerera på aviseringar om säkerhetsaviseringar
Du kan prenumerera på olika partneraviseringar baserat på din roll.
Säkerhetsaviseringar meddelar dig när kundens Azure-prenumeration visar möjliga avvikande aktiviteter.
Få aviseringar via e-post
- Logga in på Partner Center och välj Meddelanden (klocka).
- Välj Mina inställningar.
- Ange en önskad e-postadress om du inte redan har angett en.
- Ange önskat språk för meddelandet om du inte redan har angett det.
- Välj Redigera bredvid Inställningar för e-postaviseringar.
- Markera alla rutor som rör kunder i kolumnen Arbetsyta . (Om du vill avbryta prenumerationen avmarkerar du transaktionsavsnittet under kundens arbetsyta.)
- Välj Spara.
Vi skickar säkerhetsaviseringar när vi identifierar möjliga aktiviteter för säkerhetsaviseringar eller missbruk i vissa av dina kunders Microsoft Azure-prenumerationer. Det finns tre typer av e-postmeddelanden:
- Daglig sammanfattning av olösta säkerhetsaviseringar (antal partner, kunder och prenumerationer som påverkas av olika aviseringstyper)
- Säkerhetsaviseringar i nära realtid. En lista över Azure-prenumerationer som har potentiella säkerhetsproblem finns i Hämta mer information om bedrägerihändelser.
- Säkerhetsrådgivningsmeddelanden i nära realtid. Dessa meddelanden ger insyn i de meddelanden som skickas till kunden när det finns en säkerhetsvarning.
Molnlösningsleverantör (CSP) direktfaktureringspartner kan se fler aviseringar för aktiviteter, till exempel avvikande beräkningsanvändning, kryptoutvinning, Azure Machine Learning-användning och rådgivningsmeddelanden om tjänsthälsa. Molnlösningsleverantör (CSP) direktfaktureringspartner kan se fler aviseringar för aktiviteter, till exempel avvikande beräkningsanvändning, kryptoutvinning, Azure Machine Learning-användning och rådgivningsmeddelanden om tjänsthälsa.
Hämta aviseringar via en webhook
Partner kan registrera sig för en webhook-händelse: azure-fraud-event-detected för att ta emot aviseringar om resursändringshändelser. Mer information finns i Partnercenter-webhook-händelser.
Se och svara på aviseringar via instrumentpanelen för säkerhetsaviseringar
CSP-partners kan komma åt instrumentpanelen för säkerhetsaviseringar i Partnercenter för att identifiera och svara på aviseringar. För mer information, se Svara på säkerhetshändelser med Partner Center instrumentpanelen för säkerhetsaviseringar. CSP-partners kan komma åt instrumentpanelen för Säkerhetsaviseringar i Partnercenter för att upptäcka och reagera på aviseringar. Mer information finns i Svara på säkerhetshändelser med instrumentpanelen för Partnercenter-säkerhetsaviseringar.
Hämta aviseringsinformation via API
Du kan få aviseringsinformation via API:et för Säkerhetsaviseringar i Microsoft Graph.
Använda det nya API:et för Microsoft Graph-säkerhetsaviseringar (Beta)
Fördelar: Från och med maj 2024 är förhandsversionen av MICROSOFT Graph Security Alerts API tillgänglig. Det här API:et ger en enhetlig API-gatewayupplevelse i andra Microsoft-tjänster som Microsoft Entra ID, Teams och Outlook.
Onboarding-krav: Registrerade CSP-partner måste använda det nya beta-API:et för säkerhetsaviseringar. Mer information finns i Använda API:et för partnersäkerhetsaviseringar i Microsoft Graph.
Microsoft Graph Security Alerts API V1-versionen kommer snart.
| Användningsfall | API:er |
|---|---|
| Registrera till Microsoft Graph API för att hämta åtkomsttoken | Få åtkomst på en användares vägnar |
| Lista säkerhetsaviseringar för att få insyn i aviseringarna | Lista säkerhetsvarningar |
| Hämta säkerhetsaviseringar för att få insyn i en specifik avisering baserat på den valda frågeparamen. | Hämta partnerSecurityAlert |
| Hämta token för att anropa API:er för Partnercenter för referensinformation | Aktivera säker programmodell |
| Hämta information om din organisationsprofil | Hämta en organisationsprofil |
| Hämta er kundinformation via ID | Hämta en kund efter ID |
| Hämta indirekta återförsäljares information för en kund via ID | Hämta partner för en kund |
| Hämta kundens prenumerationsinformation efter ID | Hämta en prenumeration med ID |
| Uppdatera varningsstatus och lös när det har åtgärdats | Uppdatera partnerSecurityAlert |
Stöd för det befintliga FraudEvents-API:et
Viktigt!
API:et för äldre bedrägerihändelser är inaktuellt i CY Q4 2024. Om du vill ha mer information kan du se upp för månatliga säkerhetsmeddelanden i Partnercenter. CSP-partners bör migrera till det nya Microsoft Graph Security Alerts API:et, som nu är tillgängligt i förhandsversion.
Under övergångsperioden kan CSP-partner fortsätta att använda FraudEvents-API:et för att få extra identifieringssignaler med X-NewEventsModel. Med den här modellen kan du få nya typer av aviseringar när de läggs till i systemet. Du kan till exempel få avvikande beräkningsanvändning, kryptoutvinning, Azure Machine Learning-användning och rådgivningsmeddelanden om tjänsthälsa. Nya typer av aviseringar kan läggas till med begränsad varsel, eftersom hoten också utvecklas. Om du använder särskild hantering via API:et för olika aviseringstyper övervakar du dessa API:er för ändringar:
- Hämta bedrägerihändelser
- Uppdatera status för bedrägerihändelser
Vad du ska göra när du får ett meddelande om säkerhetsaviseringar
Följande checklista innehåller förslag på nästa steg för vad du ska göra när du får ett säkerhetsmeddelande.
- Kontrollera att e-postmeddelandet är giltigt. När vi skickar säkerhetsaviseringar skickas de från Microsoft Azure med e-postadressen:
no-reply@microsoft.com. Partner får endast meddelanden från Microsoft. - När du får ett meddelande kan du även se e-postaviseringen i Åtgärdscenter-portalen. Välj klockikonen för att se Aviseringar i Åtgärdscenter.
- Granska Azure-prenumerationerna. Avgör om aktiviteten i prenumerationen är legitim och förväntad, eller om aktiviteten kan bero på obehörigt missbruk eller bedrägeri.
- Berätta för oss vad du hittade, antingen via instrumentpanelen för säkerhetsaviseringar eller från API:et. För att lära dig mer om hur du använder API:et, se Uppdatera status för bedrägerihändelser. Använd följande kategorier för att beskriva vad du hittade:
- Legitim – Aktiviteten är förväntad eller en falsk positiv signal.
- Bedrägeri – Aktiviteten beror på obehörigt missbruk eller bedrägeri.
- Ignorera – Aktiviteten är en äldre avisering och bör ignoreras. Mer information finns i Varför får partner äldre säkerhetsaviseringar?.
Vilka andra åtgärder kan du vidta för att minska risken för kompromisser?
- Aktivera multifaktorautentisering (MFA) på dina kund- och partnerklientorganisationer. Konton som har behörighet att hantera kundernas Azure-prenumerationer måste vara MFA-kompatibla. Mer information finns i bästa praxis för molnlösningsleverantörssäkerhet och bästa praxis för kundsäkerhet.
- Konfigurera aviseringar för att övervaka dina åtkomstbehörigheter för rollbaserad åtkomstkontroll i Azure (RBAC) för kundernas Azure-prenumerationer. Mer information finns i Azure-plan – Hantera prenumerationer och resurser.
- Granska behörighetsändringar för dina kunders Azure-prenumerationer. Granska aktivitetsloggen i Azure Monitor för aktivitet relaterad till Azure-prenumerationer.
- Granska utgiftsavvikelser mot din utgiftsbudget i Azure cost management.
- Utbilda och arbeta med kunder för att minska överblivna kvoten och därmed förhindra potentiella problem i Azure-prenumerationen: Översikt över kvoter – Azure Quotas.
- Skicka begäran om att hantera Azure-kvot: Så skapar du en Azure supportförfrågan – Azure supportbarhet
- Granska den aktuella kvotanvändningen: REST API-referens för Azure kvot
- Om du kör kritiska arbetsbelastningar som kräver hög kapacitet, kan du överväga kapacitetsreservation på begäran eller Azure-reserverade virtuella datorinstanser.
Vad ska du göra om en Azure-prenumeration komprometteras?
Vidta omedelbara åtgärder för att skydda ditt konto och dina data. Här är några förslag och tips för att snabbt begränsa och svara på en potentiell incident för att minska dess påverkan och totala affärsrisk.
Det är viktigt att åtgärda komprometterade identiteter i en molnmiljö för att säkerställa den övergripande säkerheten för molnbaserade system. Komprometterade identiteter kan ge angripare åtkomst till känsliga data och resurser, vilket gör det viktigt att vidta omedelbara åtgärder för att skydda kontot och data.
Ändra omedelbart autentiseringsuppgifterna för:
- Hyresgästadministratörer och RBAC-åtkomst i Azure-prenumerationer Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?
- Följ lösenordsvägledningen. Rekommendationer för lösenordspolicy
- Se till att alla klientadministratörer och RBAC-ägare har registrerat och genomfört MFA.
Granska och verifiera alla e-postmeddelanden och telefonnummer för återställning av administratörslösenord i Microsoft Entra-ID. Uppdatera dem om det behövs. Rekommendationer för lösenordspolicy
Granska vilka användare, hyresgäster och prenumerationer som är utsatta för risk inom Azure portal.
- Undersök risken genom att gå till Microsoft Entra ID för att granska Identity Protections riskrapporter. Mer information finns i Undersöka risker med Microsoft Entra ID Protection
- Licenskrav för Identity Protection
- Åtgärda risker och avblockera användare
- Användarupplevelser med Microsoft Entra ID-skydd
Granska inloggningsloggarna från Microsoft Entra på kundens klientorganisation för att se ovanliga inloggningsmönster vid den tidpunkt då säkerhetsaviseringen utlöses.
När skadliga aktörer har avlägsnats rensar du de komprometterade resurserna. Håll ett öga på den berörda prenumerationen för att se till att det inte finns någon ytterligare misstänkt aktivitet. Det är också en bra idé att regelbundet granska dina loggar och spårningsloggar för att säkerställa att ditt konto är säkert.
- Sök efter obehörig aktivitet i Azure-aktivitetsloggen, till exempel ändringar i vår fakturering, användning av icke-fakturerade kommersiella förbrukningsradobjekt, eller konfigurationer.
- Granska utgiftsavvikelser mot kundens utgiftsbudget i Azure Cost Management.
- Inaktivera eller ta bort eventuella komprometterade resurser:
- Identifiera och avlägsna hotaktören: Använd Microsofts och Azures säkerhetsresurser för att återhämta sig från systemisk identitetskompromiss.
- Kontrollera Azure-aktivitetsloggen för eventuella ändringar på prenumerationsnivå.
- Frigör och ta bort resurser som skapats av obehörig part. Se hur du håller din Azure-prenumeration ren | Azure Tips och Tricks (video)
- Du kan avbryta kundernas Azure-prenumerationer genom API:n (Avbryt en Azure-rättighet) eller via Partner Center-portalen.
- Kontakta Azure Support omedelbart och rapportera incidenten
- Rensa lagring efter händelsen: Hitta och ta bort ej anslutna hanterade och ohanterade Azure-diskar – Virtuella datorer i Azure
Det är enklare att förhindra att kontot komprometteras än att återställa från det. Därför är det viktigt att stärka din säkerhetsstatus.
- Granska kvoten för kundernas Azure-prenumerationer och skicka begäran för att minska den oanvända kvoten. För mer information, se Minska kvot.
- Granska och implementera säkerhetens bästa praxis för molnlösningsleverantörer.
- Arbeta med dina kunder för att lära dig och implementera bästa praxis för kundsäkerhet.
- Kontrollera att Defender för Cloud är aktiverat (det finns en kostnadsfri tjänstnivå tillgänglig för den här tjänsten).
- Se till att Defender för molnet är aktiverat (det finns en kostnadsfri nivå tillgänglig för den här tjänsten).
För mer information, se artikeln support.
Fler verktyg för övervakning
- Konfigurera aviseringar från Azure Portal
- Ange en Azure-utgiftsbudget för kunder
Så här förbereder du dina slutkunder
Microsoft skickar meddelanden till Azure-prenumerationer som går till dina slutkunder. Samarbeta med slutkund för att se till att de kan agera på rätt sätt och få aviseringar om olika säkerhetsproblem i sin miljö:
- Konfigurera användningsaviseringar med Azure Monitor eller Azure Cost Management.
- Konfigurera Service Health-aviseringar för att bli medveten om andra meddelanden från Microsoft om säkerhet och andra relaterade problem.
- Arbeta med organisationens klientorganisationsadministratör (om den inte hanteras av partnern) för att framtvinga ökade säkerhetsåtgärder för din klientorganisation (se följande avsnitt).
Ytterligare information för att skydda din hyresgäst
- Granska och implementera bästa praxis för operativ säkerhet för dina Azure-tillgångar.
- Tillämpa multifaktorautentisering för att stärka din identitetssäkerhet.
- Implementera riskpolicyer och aviseringar för användare med hög risk och inloggningar med hög risk:Vad är Microsoft Entra ID Protection?.
Om du misstänker obehörig användning av din eller kundens Azure-prenumeration, kontakta Microsoft Azure-supporten så att Microsoft kan hjälpa till att snabbt hantera eventuella frågor eller problem.
Om du har specifika frågor om Partner Center, kan du skicka en supportärende i Partner Center. För mer information: Få support i Partnercenter.
Kontrollera säkerhetsmeddelanden under Aktivitetsloggar
- Logga in på Partner Center och välj ikonen för inställningar (kugghjulet) i det övre högra hörnet, och välj sedan arbetsytan Kontoinställningar.
- Gå till Aktivitetsloggar på den vänstra panelen.
- Ange datumen Från och Till i det översta filtret.
- Under Filtrera efter åtgärdstyp väljer du Azure Fraud Event Detected. Du bör kunna se alla säkerhetsaviseringar Händelser som har identifierats för den valda perioden.
Varför får partner äldre Azure-säkerhetsaviseringar?
Microsoft har skickat Azure-bedrägeriaviseringar sedan december 2021. Tidigare baserades dock aviseringsmeddelandet endast på opt-in-preference, där partner var tvungna att välja att ta emot meddelanden. Vi har ändrat det här beteendet. Partner bör nu lösa alla bedrägeriaviseringar (inklusive gamla aviseringar) som är öppna. Följ de bästa praxis för Molnlösningsleverantörers säkerhet, för att säkra din och dina kunders säkerhetsställning.
Microsoft skickar den dagliga bedrägerisammanfattningen (det handlar om antalet partner, kunder och prenumerationer som påverkas) om det finns en aktiv olöst bedrägeriavisering under de senaste 60 dagarna. Microsoft skickar den dagliga bedrägerisammanfattningen (det är antalet partner, kunder och prenumerationer som påverkas) om det finns en aktiv olöst bedrägeriavisering under de senaste 60 dagarna.
Varför visas inte alla aviseringar?
Meddelanden om säkerhetsaviseringar är begränsade till att identifiera mönster för vissa avvikande åtgärder i Azure. Säkerhetsaviseringar detekterar inte och garanteras inte att upptäcka alla avvikande beteenden. Det är viktigt att du använder andra övervakningsmetoder för att identifiera avvikande användning i kundens Azure-prenumerationer, till exempel månatliga Azure-utgiftsbudgetar. Om du får en betydande avisering som är en falsk negativ, kontakta partnersupporten och ange följande information:
- Partnerklientorganisations-ID
- Kundens hyresgäst-ID
- Prenumerations-ID
- Resurs-ID
- Startdatum för påverkan och slutdatum för påverkan
Relaterat innehåll
- Integrera med säkerhetsaviseringar API:et och registrera en webhook.