共用方式為

偵測和回應安全性警示

  • 發行項

適當的角色:管理代理

適用於:合作夥伴中心直接帳單和間接提供者

您可以訂閱新的安全性警示,以偵測與未經授權方濫用和帳戶接管相關的活動。 此安全性警示是 Microsoft 提供的保護客戶租戶所需資料的眾多方式之一。 您可以訂閱新的安全性警示,以偵測與未經授權者濫用和帳戶接管相關的偵測。 此安全性警示是Microsoft提供保護客戶租戶所需資料的眾多方式之一。

重要

身為 雲端解決方案提供者 (CSP) 計劃的合作夥伴,您必須負責客戶的 Azure 使用量,因此請務必瞭解客戶 Azure 訂用帳戶中的任何異常使用量。 使用Microsoft Azure 安全性警示來偵測 Azure 資源中的詐騙活動模式和誤用,以協助您降低對在線交易風險的風險。 Microsoft Azure 安全性警示不會偵測所有類型的詐騙活動或誤用,因此請務必使用額外的監視方法來協助偵測客戶 Azure 訂用帳戶中的異常使用量。 如需詳細資訊,請參閱 管理非付款、詐騙或誤用管理客戶帳戶

需要採取動作: 透過監視和訊號感知,您可以立即採取行動來判斷行為是否合法或詐騙。 如有必要,您可以暫停受影響的 Azure 資源或 Azure 訂閱,以解決問題。

請確定合作夥伴系統管理員代理程式 慣用的電子郵件位址是 up-to日期,因此會連同安全性聯繫人一起收到通知。

訂閱安全性警示通知

您可以根據您的角色訂閱各種合作夥伴通知。

當客戶的 Azure 訂用帳戶顯示可能的異常活動時,安全性警示會通知您。

透過電子郵件取得警示

  1. 登入合作夥伴中心,然後選取通知(鈴鐺)。
  2. 選取 我的喜好設定
  3. 如果您尚未設定電子郵件地址,請設定首選電子郵件地址。
  4. 如果您尚未設定通知,請設定通知的慣用語言。
  5. 選取 編輯電子郵件通知喜好設定 旁。
  6. 勾選 [工作區] 欄中與 [客戶] 相關的所有方塊。 (若要取消訂閱,請取消選取客戶工作區下的交易區段。
  7. 選擇 [儲存]。

當我們偵測到某些客戶Microsoft Azure 訂用帳戶中可能的安全性警示活動或誤用時,我們會傳送安全性警示。 電子郵件有三種類型:

  • 未解決安全性警示 的每日摘要(受到各種警示類型影響的合作夥伴、客戶和訂用帳戶計數)
  • 近乎即時的安全性警示。 若要取得具有潛在安全性考慮的 Azure 訂用帳戶清單,請參閱 取得詐騙活動
  • 近乎即時的安全性諮詢通知。 這些通知可讓客戶在出現安全性警示時了解所收到的通知。

雲端解決方案提供者 (CSP) 直接計費合作夥伴可以看到更多活動的警示,例如:異常計算使用量、加密採礦、Azure 機器學習 使用量和服務健康情況諮詢通知。 雲端解決方案提供者 (CSP) 直接計費合作夥伴可以看到更多活動的警示,例如:異常計算使用量、加密採礦、Azure 機器學習 使用量和服務健康情況諮詢通知。

透過 Webhook 取得警示

合作夥伴可以註冊至 Webhook 事件:azure-fraud-event-detected,以接收資源變更事件的警示。 如需詳細資訊,請參閱 合作夥伴中心 Webhook 事件

透過安全性警示儀錶板查看並回應警示

CSP 合作夥伴可以存取合作夥伴中心的安全性警示儀錶板,以偵測和回應警示。 如需詳細資訊,請參閱 使用合作夥伴中心安全性警示儀錶板回應安全性事件。 CSP 合作夥伴可以存取合作夥伴中心 安全性警示儀表板,以偵測和回應警示。 如需詳細資訊,請參閱 使用合作夥伴中心安全性警示儀錶板回應安全性事件

透過 API 取得警示詳細數據

您可以透過 Microsoft Graph 安全性警示 API 取得警示詳細數據。

使用新的 Microsoft Graph 安全性警示 API (Beta)

優點:從 2024 年 5 月開始,可以使用 Microsoft Graph 安全性警示 API 的預覽版本。 此 API 提供跨其他 Microsoft 服務 的統一 API 閘道體驗,例如Microsoft Entra ID、Teams 和 Outlook。

上架需求:必須上線的 CSP 合作夥伴才能使用新的安全性警示 Beta API。 如需詳細資訊,請參閱 在 Microsoft Graph 中使用合作夥伴安全性警示 API

即將推出 Microsoft Graph 安全性警示 API V1 版本。

使用案例 API
上線至 Microsoft Graph API 以取得存取令牌 以使用者的名義存取
列出安全性警示以深入了解警示內容 列出安全警報
取得安全性警示,以根據選取的查詢參數取得特定警示的可見度。 取得 partnerSecurityAlert
取得令牌以呼叫合作夥伴中心 API 以取得參考資訊 啟用安全應用程式模型
取得您的組織資料資訊 取得組織設定檔
依標識碼取得您的客戶資訊 依照識別碼取得客戶
依標識碼取得客戶的間接轉銷商資訊 獲取客戶的合作夥伴
透過識別碼獲取客戶的訂閱資訊 依照識別碼取得訂閱
更新警示狀態,並在緩和時解決 更新夥伴安全警報

對現有 FraudEvents API 的支援

重要

舊版詐騙事件 API 將於 2024年第四季度停用。 如需詳細資訊,請參閱每月合作夥伴中心安全性公告。 CSP 合作夥伴應該移轉至新的 Microsoft Graph 安全性警示 API,這項功能現已可供預覽。

在轉換期間,CSP 合作夥伴可以繼續使用 FraudEvents API,以使用 X-NewEventsModel 取得額外的偵測訊號。 使用此模型時,您可以取得新類型的警示,因為它們會新增至系統。 例如,您可以取得異常的計算使用量、加密採礦、Azure Machine Learning 使用量和服務健康情況諮詢通知。 新類型的警示可以隨著有限的通知而新增,因為威脅也會不斷演進。 如果您透過 API 針對不同的警示類型使用特殊處理,請監視這些 API 是否有變更:

  • 取得詐騙事件
  • 更新詐騙事件狀態

當您收到安全性警示通知時該怎麼辦

下列檢查清單提供您收到安全性通知時要執行的後續步驟建議。

  • 檢查以確定電子郵件通知有效。 當我們傳送安全性警示時,它們會從 Microsoft Azure 傳送,電子郵件位址為:no-reply@microsoft.com。 合作夥伴只會收到來自Microsoft的通知。
  • 收到通知時,您也可以在控制中心入口網站中看到電子郵件警示。 選取鈴鐺圖示以查看控制中心警示。
  • 檢閱 Azure 訂用帳戶。 判斷訂用帳戶中的活動是否合法且預期,或活動是否可能是因為未經授權的濫用或詐騙所造成。
  • 透過安全性警示儀錶板或 API,讓我們知道您找到的內容。 若要深入瞭解如何使用 API,請參閱 更新詐騙事件狀態。 使用下列類別來描述您找到的內容:

您可以採取哪些其他步驟來降低入侵的風險?

  • 在您的客戶和合作夥伴租戶中啟用多重要素驗證 (MFA)。 具有管理客戶 Azure 訂用帳戶許可權的帳戶必須符合 MFA 規範。 如需詳細資訊,請參閱 雲端解決方案提供者安全性最佳做法客戶安全性最佳做法
  • 設定警示,以監視客戶 Azure 訂用帳戶上 Azure 角色型存取控制 (RBAC) 訪問許可權。 如需詳細資訊,請參閱 Azure 方案 - 管理訂用帳戶和資源
    • 審核客戶 Azure 訂用帳戶的許可權變更。 檢閱 Azure 訂用帳戶相關活動的 Azure Monitor 活動記錄。
  • Azure 成本管理中,檢視異常支出及其與您的支出預算的比較。
  • 教育及與客戶共同合作,減少未使用的配額,以防止 Azure 訂用帳戶出現可能的損害:配額概觀 - Azure 配額。

如果 Azure 訂用帳戶遭到入侵,您應該怎麼做?

立即採取行動來保護您的帳戶和數據。 以下是幾項快速回應並遏制潛在事件,以降低其影響和整體商務風險的建議和提示。

在雲端環境中補救遭入侵的身分識別 對於確保雲端系統的整體安全性至關重要。 遭入侵的身分識別可讓攻擊者存取敏感數據和資源,因此必須立即採取行動來保護帳戶和數據。

  • 立即變更憑證:

    • 在 Azure 訂用帳戶中,租用戶系統管理員和角色型存取控制 (RBAC) 是什麼?
    • 遵循密碼指引。 密碼原則建議
    • 確保所有租戶系統管理員和 RBAC 擁有者都已註冊並強制執行 MFA。

  • 檢閱並確認Microsoft Entra識別碼內的所有系統管理員用戶密碼復原電子郵件和電話號碼。 如有必要,請加以更新。 密碼原則建議

  • 檢閱在 Azure 入口網站中哪些使用者、租用戶和訂用帳戶處於危險之中。

  • 檢查客戶租戶中的 Microsoft Entra 登入記錄,以查看在安全性警示觸發時的異常登入模式。

移除惡意執行者之後,清除遭入侵的資源。 請密切關注受影響的訂用帳戶,以確保沒有進一步的可疑活動。 您也可以定期檢閱您的記錄和稽核線索,以確保您的帳戶安全。

  • 檢查 Azure 活動記錄中是否有任何未經授權的活動,例如帳單變更、未計費商業耗用量明細專案的使用量,或是設定的變更。
  • 審查 Azure 成本管理 中的客戶支出預算異常狀況。
  • 停用或刪除任何遭入侵的資源:
    • 識別並移除威脅行為者:使用 Microsoft 和 Azure 的安全性資源來協助從系統性身分識別入侵中復原。
    • 檢查 Azure 活動記錄以查看任何訂用帳戶層級的變更。
    • 解除分配並移除任何未經授權者建立的資源。 觀看 如何讓您的 Azure 訂閱保持乾淨 | Azure 秘訣和訣竅 (影片)
    • 您可以透過 API(取消 Azure 權利)或透過合作夥伴中心入口網站來取消客戶的 Azure 訂閱。
    • 立即連絡 Azure 支援 並報告事件
    • 在事件之後清理儲存體:尋找並刪除未連結的 Azure 受控與非受控磁碟 - Azure 虛擬機器

防止帳戶入侵比從中復原更容易。 因此, 請務必加強安全性狀態

  • 檢閱客戶 Azure 訂用帳戶上的配額,並提交要求以減少未使用的配額。 如需詳細資訊,請參閱 減少配額
  • 檢視並實施雲端解決方案供應商安全最佳實踐。
  • 請與客戶合作,瞭解並實作客戶安全性最佳做法。
  • 請確定Defender for Cloud已開啟(此服務有免費層可使用)。
  • 請確保已開啟 Defender for Cloud(此服務提供免費層供使用)。

如需詳細資訊,請參閱文章 支援。

更多用於監視的工具

  • 從 Azure 入口網站設定警示
  • 為客戶設定 Azure 費用預算

如何為您的最終客戶做好準備

Microsoft將通知傳送至 Azure 訂用帳戶,以前往您的終端客戶。 請與您的終端客戶合作,確保客戶可以適當地採取行動,並在其環境中收到各種安全性問題的警示:

  • 使用 Azure 監視器或 Azure 成本管理 設定 使用量警示。
  • 設定「服務健康狀態警示」,以關注 Microsoft 有關安全性和其他相關問題的通知。
  • 請與貴組織的租用戶系統管理員合作(如果不是由合作夥伴管理),在您的租用戶上強制執行增加的安全性措施(請參閱下一節)。

保護租使用者的其他資訊

  • 檢閱並實施 Azure 資產的操作安全性最佳做法。
  • 強制執行 多因子驗證,以強化身分識別安全性狀態。
  • 為高風險使用者和登入實施風險政策和警報:什麼是 Microsoft Entra ID 保護?

如果您懷疑您的或您的客戶的 Azure 訂用帳戶遭到未經授權的使用,請聯絡 Microsoft Azure 支援,以便 Microsoft 可以協助加速處理其他問題或疑慮。

如果您有關於合作夥伴中心的特定問題,請在該處提交 支援請求。 如需詳細資訊:在合作夥伴中心取得支援

在 [活動記錄] 底下檢查安全性通知

  1. 登入合作夥伴中心,選取右上角的齒輪圖示 [設定],然後選取 [帳戶設定] 工作區。
  2. 流覽至 左側面板中的活動記錄
  3. 在頂端篩選器中設置開始結束日期。
  4. 在「依作業類型篩選」中,選取「偵測到 Azure 詐騙事件」。 您應該能夠看到所選期間偵測到的所有安全性警示事件。

為什麼合作夥伴會收到較舊的 Azure 安全性警示?

自 2021 年 12 月起,Microsoft一直傳送 Azure 詐騙警示。 不過,在過去,警示通知僅基於選擇性加入的偏好,合作夥伴必須選擇加入才能接收通知。 我們已變更此行為。 合作夥伴現在應該解決所有已開啟的詐騙警示(包括舊警示)。 若要確保您與客戶的安全狀態,請遵循雲端解決方案提供者的安全性最佳實踐。

如果過去 60 天內有活躍且尚未解決的詐騙警示,Microsoft 將會傳送每日詐騙摘要(其中包括受影響的合作夥伴、客戶以及訂閱帳戶的數量)。 如果過去 60 天內有作用中的未解決詐騙警示,Microsoft 會提供每日詐騙摘要,其中包括受影響的合作夥伴、客戶和訂閱數量的計算。

為什麼我看不到所有警示?

安全性警示通知僅限於偵測 Azure 中特定異常動作的模式。 安全性警示通知不會偵測,也不保證偵測所有異常行為。 請務必使用其他監視方法來協助偵測客戶 Azure 訂用帳戶中的異常使用量,例如每月 Azure 消費預算。 如果您收到重大且為誤報的警示,請連絡合作夥伴支持人員並提供下列資訊:

  • 合作夥伴租戶 ID
  • 租戶識別碼
  • 訂用帳戶識別碼
  • 資源識別碼
  • 影響開始和影響結束日期

相關內容

  • 與安全警示 API 整合,並註冊 Webhook。