偵測和回應安全性警示
適當的角色:系統管理代理程式
適用於:合作夥伴中心直接帳單和間接提供者
您可以訂閱新的安全性警示,以偵測與未經授權者濫用和帳戶接管相關的偵測。 此安全性警示是Microsoft提供保護客戶租使用者所需數據的許多方式之一。 您可以訂閱新的安全性警示,以偵測與未經授權者濫用和帳戶接管相關的偵測。 此安全性警示是Microsoft提供保護客戶租使用者所需數據的許多方式之一。
重要
身為 雲端解決方案提供者 (CSP) 計劃的合作夥伴,您必須負責客戶的 Azure 使用量,因此請務必瞭解客戶 Azure 訂用帳戶中的任何異常使用量。 使用Microsoft Azure 安全性警示來偵測 Azure 資源中的詐騙活動模式和誤用,以協助您降低對在線交易風險的風險。 Microsoft Azure 安全性警示不會偵測所有類型的詐騙活動或誤用,因此請務必使用其他監視方法來協助偵測客戶 Azure 訂用帳戶中的異常使用量。 若要深入瞭解,請參閱 管理非付款、詐騙或濫用 和管理 客戶帳戶。
需要採取動作: 透過監視和訊號感知,您可以立即採取行動來判斷行為是否合法或詐騙。 如有必要,您可以暫停受影響的 Azure 資源 或 Azure 訂 用帳戶,以減輕問題。
請確定 合作夥伴系統管理員代理程式 慣用的電子郵件位址是最新的,以便與安全性聯繫人一起收到通知。
訂閱安全性警示通知
您可以根據您的角色訂閱各種合作夥伴通知。
當客戶的 Azure 訂用帳戶顯示可能的異常活動時,安全性警示會通知您。
透過電子郵件取得警示
- 登入 合作夥伴中心 ,然後選取 [通知 ] (鈴鐺)。
- 選取 [我的喜好設定]。
- 如果您尚未這麼做,請設定慣用的電子郵件位址。
- 如果您尚未這麼做,請設定通知的慣用語言。
- 選取 [電子郵件通知喜好設定] 旁的 [編輯]。
- 核取 [工作區] 數據行中與 [客戶] 相關的所有方塊。 (若要取消訂閱,請取消選取客戶工作區下的交易區段。
- 選取 [儲存]。
當我們偵測到某些客戶Microsoft Azure 訂用帳戶中可能的安全性警示活動或誤用時,我們會傳送安全性警示。 電子郵件有三種類型:
- 未解決安全性警示 的每日摘要(受到各種警示類型影響的合作夥伴、客戶和訂用帳戶計數)
- 近乎即時的安全性警示。 若要取得具有潛在安全性考慮的 Azure 訂用帳戶清單,請參閱 取得詐騙事件。
- 近乎即時的安全性諮詢通知。 這些通知提供安全性警示時傳送給客戶的通知可見度。
雲端解決方案提供者 (CSP) 直接計費合作夥伴可以看到更多活動的警示,例如:異常計算使用量、加密採礦、Azure 機器學習 使用量和服務健康情況諮詢通知。 雲端解決方案提供者 (CSP) 直接計費合作夥伴可以看到更多活動的警示,例如:異常計算使用量、加密採礦、Azure 機器學習 使用量和服務健康情況諮詢通知。
透過 Webhook 取得警示
合作夥伴可以註冊至 Webhook 事件: azure-fraud-event-detected
接收資源變更事件的警示。 若要深入瞭解,請參閱 合作夥伴中心Webhook事件。
透過安全性警示儀錶板查看並回應警示
CSP 合作夥伴可以存取合作夥伴中心 安全性警示儀錶板 ,以偵測和回應警示。 若要深入瞭解,請參閱 使用合作夥伴中心安全性警示儀錶板回應安全性事件。 CSP 合作夥伴可以存取合作夥伴中心 安全性警示儀錶板 ,以偵測和回應警示。 若要深入瞭解,請參閱 使用合作夥伴中心安全性警示儀錶板回應安全性事件。
透過 API 取得警示詳細數據
使用新的 Microsoft Graph 安全性警示 API (Beta)
優點:從 2024 年 5 月開始,可以使用 Microsoft Graph 安全性警示 API 的預覽版本。 此 API 提供跨其他 Microsoft 服務 的統一 API 閘道體驗,例如Microsoft Entra ID、Teams 和 Outlook。
上架需求:需要上線的 CSP 合作夥伴才能使用新的安全性警示 Beta API。 若要深入瞭解,請參閱 在 Microsoft Graph 中使用合作夥伴安全性警示 API。
Microsoft Graph 安全性警示 API V1 版本將於 2024 年 7 月發行。
使用案例 | API |
---|---|
上線至 Microsoft Graph API 以取得存取令牌 | 代表使用者進行存取 |
列出安全性警示以取得警示的可見度 | 列出 securityAlerts |
取得安全性警示,以根據選取的查詢參數取得特定警示的可見度。 | 取得 partnerSecurityAlert |
取得令牌以呼叫合作夥伴中心 API 以取得參考資訊 | 啟用安全應用程式模型 |
取得您的組織配置檔資訊 | 取得組織設定檔 |
依標識碼取得您的客戶資訊 | 依照識別碼取得客戶 |
依標識碼取得客戶的間接轉銷商資訊 | 獲取客戶的合作夥伴 |
依標識元取得客戶的訂用帳戶資訊 | 依照識別碼取得訂用帳戶 |
更新警示狀態,並在緩和時解決 | 更新 partnerSecurityAlert |
支持現有的 FraudEvents API
重要
舊版詐騙事件 API 將在 CY Q4 2024 中淘汰。 如需詳細資訊,請參閱每月合作夥伴中心安全性公告。 CSP 合作夥伴應該移轉至新的 Microsoft Graph 安全性警示 API,其現已可供預覽。
在轉換期間,CSP 合作夥伴可以繼續使用 FraudEvents API,以使用 X-NewEventsModel 取得額外的偵測訊號。 使用此模型時,您可以取得新類型的警示,例如異常計算使用量、加密採礦、Azure 機器學習 使用量和服務健康情況諮詢通知。 新類型的警示可以隨著有限的通知而新增,因為威脅也會不斷演進。 如果您透過 API 針對不同的警示類型使用特殊處理,請監視這些 API 是否有變更:
當您收到安全性警示通知時該怎麼辦
下列檢查清單提供您收到安全性通知時要執行的後續步驟建議。
- 檢查以確定電子郵件通知有效。 當我們傳送安全性警示時,系統會從 azure Microsoft 傳送警示,電子郵件位址為:
no-reply@microsoft.com
。 合作夥伴只會收到來自Microsoft的通知。 - 收到通知時,您也可以在控制中心入口網站中看到電子郵件警示。 選取鈴鐺圖示以查看控制中心警示。
- 檢閱 Azure 訂用帳戶。 判斷訂用帳戶中的活動是否合法且預期,或活動是否可能是因為未經授權的濫用或詐騙所造成。
- 透過安全性警示儀錶板或 API,讓我們知道您找到的內容。 若要深入瞭解如何使用 API,請參閱 更新詐騙事件狀態。 使用下列類別來描述您找到的內容:
- 合法 - 活動必須是或誤判訊號。
- 詐騙 - 活動是由於未經授權的濫用或詐騙。
- Ignore - 活動是較舊的警示,應該忽略。 若要深入瞭解,請參閱 為什麼合作夥伴會收到較舊的安全性警示?。
您可以採取哪些其他步驟來降低入侵的風險?
- 在您的客戶和合作夥伴租用戶上啟用多重要素驗證 (MFA)。 具有管理客戶 Azure 訂用帳戶許可權的帳戶必須符合 MFA 規範。 若要深入瞭解,請參閱 雲端解決方案提供者 安全性最佳做法和客戶安全性最佳做法。
- 設定警示,以監視客戶 Azure 訂用帳戶上 Azure 角色型存取控制 (RBAC) 訪問許可權。 若要深入瞭解,請參閱 Azure 方案 - 管理訂用帳戶和資源。
- 稽核客戶 Azure 訂用帳戶的許可權變更。 檢閱 Azure 訂用帳戶相關活動的 Azure 監視器活動記錄 。
- 在 Azure 成本管理中,檢閱支出預算的支出異常。
- 教育並與客戶合作,以減少未使用的配額,以避免 Azure 訂用帳戶上允許的損害: 配額概觀 - Azure 配額。
- 提交管理 Azure 配額的要求:如何建立 Azure 支援 要求 - Azure 支援 能力
- 檢閱目前的配額使用量: Azure 配額 REST API 參考
- 如果您正在執行需要高容量的重要工作負載,請考慮 隨選容量保留 或 Azure 保留的虛擬機實例
如果 Azure 訂用帳戶遭到入侵,您應該怎麼做?
立即採取行動來保護您的帳戶和數據。 以下是快速回應並包含潛在事件以降低其影響和整體商務風險的一些建議和秘訣。
補救雲端環境中遭入侵的身分 識別對於確保雲端式系統的整體安全性至關重要。 遭入侵的身分識別可讓攻擊者存取敏感數據和資源,因此必須立即採取行動來保護帳戶和數據。
立即變更:
- Azure 訂 用帳戶上的租用戶系統管理員和 RBAC 存取什麼是 Azure 角色型訪問控制 (Azure RBAC)?
- 遵循密碼指引。 密碼原則建議
- 確定所有租用戶系統管理員和 RBAC 擁有者都 已註冊並強制執行 MFA
檢閱並確認Microsoft Entra識別碼內的所有系統管理員用戶密碼復原電子郵件和電話號碼。 如有必要,請加以更新。 密碼原則建議
檢閱哪些使用者、租用戶和訂用帳戶在 Azure 入口網站 內處於危險之中。
- 若要檢閱 Identity Protection 的風險報告,請前往Microsoft Entra ID 來調查風險。 若要深入瞭解,請參閱 調查風險 Microsoft Entra ID Protection
- Identity Protection 的授權需求
- 補救風險並將使用者解除封鎖
- Microsoft Entra ID Protection 的使用者體驗
檢閱客戶租使用者上的Microsoft Entra 登入記錄,以查看觸發安全性警示時異常的登入模式。
收回惡意執行者之後, 請清除遭入侵的資源。 請密切關注受影響的訂用帳戶,以確保沒有進一步的可疑活動。 您也可以定期檢閱您的記錄和稽核線索,以確保您的帳戶安全。
- 檢查 Azure 活動記錄中是否有任何未經授權的活動,例如帳單變更、未計費商業耗用量明細專案的使用量,或設定。
- 針對客戶在 Azure 成本管理中的支出預算,檢閱支出異常狀況。
- 停用或刪除任何遭入侵的資源:
- 識別並收回威脅執行者: 使用Microsoft和 Azure 安全性資源來協助從系統身分識別入侵中復原。
- 檢查 Azure 活動記錄檔的任何訂用帳戶層級變更。
- 解除分配並移除未經授權的合作物件所建立的任何資源。 觀看 如何讓您的 Azure 訂用帳戶保持乾淨 |Azure 秘訣和訣竅 (影片)
- 您可以透過 API 取消客戶的 Azure 訂 用帳戶(取消 Azure 權利), 或透過合作夥伴中心入口網站取消。
- 立即連絡 Azure 支援 並報告事件
- 在事件之後清除記憶體:尋找和刪除未連結的 Azure 受控和非受控磁碟 - Azure 虛擬機器
防止帳戶入侵比從中復原更容易。 因此, 請務必加強安全性狀態。
- 檢閱客戶 Azure 訂用帳戶上的配額,並提交要求以減少未使用的配額。 如需詳細資訊,請參閱 減少配額。
- 檢閱並實作 雲端解決方案提供者 安全性最佳做法。
- 請與客戶合作,瞭解並實作 客戶安全性最佳做法。
- 請確定已開啟 適用於雲端的 Defender(有免費層可供此服務使用)。
- 請確定已開啟 適用於雲端的 Defender(有免費層可供此服務使用)。
如需詳細資訊,請參閱文章 支援。
更多用於監視的工具
如何準備您的終端客戶
Microsoft將通知傳送至 Azure 訂用帳戶,以前往您的終端客戶。 請與您的終端客戶合作,確保客戶可以適當地採取行動,並在其環境中收到各種安全性問題的警示:
- 使用 Azure 監視器或 Azure 成本管理設定使用量警示。
- 設定 服務健康狀態警示 ,以留意Microsoft安全性和其他相關問題的其他通知。
- 請與貴組織的租用戶系統管理員合作(如果合作夥伴未管理此專案),在您的租用戶上強制執行增加的安全性措施(請參閱下一節)。
保護租使用者的其他資訊
- 檢閱並實 作 Azure 資產的操作安全性最佳做法。
- 強制執行 多重要素驗證 ,以強化身分識別安全性狀態。
- 為高風險使用者和登入實作風險原則和警示:什麼是Microsoft Entra ID Protection?。
如果您懷疑未經授權使用或客戶的 Azure 訂用帳戶,請洽 詢 Microsoft Azure 支援 ,讓Microsoft有助於加速任何其他問題或疑慮。
如果您有關於合作夥伴中心的特定問題,請在合作夥伴中心提交 支援要求 。 如需詳細資訊: 在合作夥伴中心取得支援。
在 [活動記錄] 底下檢查安全性通知
- 登入 合作夥伴中心 ,然後選取右上角的 [設定] 圖示,然後選取 [ 帳戶設定 ] 工作區。
- 流覽至 左側面板中的活動記錄 。
- 設定頂端篩選條件中的From 和To日期。
- 在 [依作業類型篩選] 中,選取 [偵測到 Azure 詐騙事件]。 您應該能夠看到所選期間偵測到的所有安全性警示事件。
為什麼合作夥伴會收到較舊的 Azure 安全性警示?
自 2021 年 12 月起,Microsoft一直傳送 Azure 詐騙警示。 不過,在過去,警示通知只會以選擇加入喜好設定為基礎,合作夥伴必須選擇接收通知。 我們已變更此行為。 合作夥伴現在應該解決所有已開啟的詐騙警示(包括舊警示)。 若要保護您的與客戶的安全性狀態,請遵循 雲端解決方案提供者 安全性最佳做法。
如果過去 60 天內有作用中未解決的詐騙警示,Microsoft會傳送每日詐騙摘要(這是受影響的合作夥伴、客戶和訂用帳戶計數)。 如果過去 60 天內有作用中未解決的詐騙警示,Microsoft會傳送每日詐騙摘要(這是受影響的合作夥伴、客戶和訂用帳戶計數)。
為什麼我看不到所有警示?
安全性警示通知僅限於偵測 Azure 中特定異常動作的模式。 安全性警示通知不會偵測,也不保證偵測所有異常行為。 請務必使用其他監視方法來協助偵測客戶 Azure 訂用帳戶中的異常使用量,例如每月 Azure 消費預算。 如果您收到重大且為誤判的警示,請連絡 合作夥伴支持 人員並提供下列資訊:
- 合作夥伴租用戶標識碼
- 客戶租用戶識別碼
- 訂用帳戶識別碼
- 資源識別碼
- 影響開始和影響結束日期