共用方式為

使用安全性警示儀錶板回應安全性事件

  • 發行項

適當的角色:系統管理代理程式

適用於:合作夥伴中心直接計費合作夥伴和間接提供者

合作夥伴中心 安全性警示 儀錶板可協助您快速響應合作夥伴中心或客戶租用戶中發生的安全性、詐騙和其他事件。

API

如果您在合作夥伴中心有多個Microsoft Entra 租使用者,您可以使用下列 API 來取得和更新警示,而不是使用 安全性警示 儀錶板:

必要條件

若要使用合作夥伴中心 安全性警示 儀錶板,您必須將使用者帳戶指派給系統管理員代理程式角色。

及時回應警示的重要性

當您的儀錶板中建立警示時,請務必分類並減輕造成警示的事件。 作為指導原則,建議您在一小時內回應警示。 針對警示的詐騙類型,響應和減輕造成警示的事件所花費的時間越長,對潛在財務影響越大。

開啟儀錶板

若要開啟合作夥伴中心 安全性警示 儀錶板:

  1. 以具有系統管理員代理程式角色的使用者身分登入合作夥伴中心。
  2. 選取 [ 深入解析 ] 工作區。
  3. 在左側功能表上的 [安全性] 底下,選取 [警示]。

您也可以使用此 連結 直接前往儀錶板。

檢視警示

儀錶板會顯示下列警示類別的相關信息。

顯示合作夥伴中心安全性警示儀錶板的螢幕快照,包括平均響應時間、本周的新事件、已解決和未解決。

  • 平均時間:過去 30 天內回應和解決警示的平均時間。
  • 本周的新事件:過去七天的新警示數目。
  • 已解決:以指定的原因解決的警示數目(例如合法詐騙)。
  • 未解決:需要注意的未解決警示數目。

儀錶板的下一節會列出會影響您登入之合作夥伴中心租使用者的警示。

此螢幕快照顯示 [安全性警示] 儀錶板和您可以採取的動作,包括 [取消訂用帳戶] 和 [導出]。

資料表具有下列資料列:

  • 警示名稱:有關偵測到之專案的高階資訊。
  • 訂用帳戶標識碼:在特定 Azure 訂用帳戶中偵測到警示時出現的標識碼。
  • 警示標識碼:警示的唯一標識符。
  • 警示狀態:警示的狀態(作用 中或 解決)。
  • 第一次觀察到:第一次出現警示。
  • 上次觀察到:警示出現的最新時間。
  • 警示類型:偵測到且造成警示的活動類型。 有兩種警示類型:
    • Azure 通知:指出訊息已傳送給受影響 Azure 訂用帳戶的客戶,並顯示為 服務健康情況 通知。 此訊息的復本會出現在警示詳細數據中。
    • Azure 使用量:表示 Azure 訂用帳戶中的活動異常增加,或訂用帳戶中發生的異常活動,例如加密採礦。
  • 嚴重性:回應警示的緊迫性層級。

您可以使用 [ 篩選] 選項來變更警示儀錶板上 出現的警示

您可以使用 [ 搜尋 ] 功能來搜尋方塊中輸入的資訊的所有警示。 搜尋結果包含下列資訊:

  • 訂用帳戶識別碼
  • 警示標識碼
  • 客戶名稱

警示詳細數據頁面上的動作

若要顯示警示的詳細數據,請選取警示名稱。 例如,下列範例警示會顯示與 Azure 訂用帳戶中發生的加密採礦相關的行為。

顯示與貨幣採礦相關的警示詳細數據的螢幕快照。

上方區段

警示詳細數據頁面頂端會顯示客戶和轉銷商(如果適用)資訊。

警示描述

[警示描述] 區段提供警示發生原因的概觀,以及調查的步驟。

受影響的資源

[ 受影響的資源 ] 區段包含兩個動作:

  • 標示為合法:您已調查資源,並找不到警示所指出或向客戶驗證的行為預期的證據。
  • 標示為詐騙:您已調查資源,並發現它們正在執行警示所指出的行為。

當您完成對警示的調查時,請選取動作來告知合作夥伴中心您探索到的內容。 選取動作會標示警示 解決。 您選取的動作會指出您解決警示的原因(也就是 Reason 值)。

資源資訊

[資源資訊] 區段提供導致警示之偵測中涉及之資源的詳細數據。 在此範例中,資源群組中有名為 testerver 的虛擬機 badvmtest [ 第一次連接時間 ] 和 [上次連接時間] 值指出我們第一次偵測到此資源時,會連絡已知的採礦集區和我們觀察到的最近時間。

其他資訊

[其他資訊] 區段提供資源所展示之行為的詳細數據,如果有的話。 在此範例中,虛擬機 badvmtest 會與已知採礦集區的 IP 位址通訊。 [資源資訊] 區段會顯示在 [第一次連線時間] 和 [上次連接時間] 之間四次連線到IP位址。

資源

在 [資源]段中,使用連結來深入瞭解警示,以及當您收到警示時該怎麼做。

底部區段

警示詳細數據頁面底部會顯示三個按鈕,可供您採取的動作。

顯示安全性警示底部的螢幕快照,其中包含取消訂用帳戶、管理訂用帳戶或返回警示的選項。

  • 取消訂用帳戶:您必須同時擁有全域管理員和管理員代理程式角色,才能使用此動作。 如果您的警示調查指出未經授權的合作對象超過 Azure 訂用帳戶,您可以選取 [取消 訂用帳戶] 來解除分配 Azure 訂用帳戶中的所有資源,並在保留期間之後標示訂用帳戶中的所有數據以進行刪除。

    在採取此動作之前,建議您與客戶溝通警示,並(可能的話)同意取消訂用帳戶。 當您選取按鈕時,會出現對話框,並要求您確認您了解此動作的影響。

    顯示取消訂用帳戶對話框的螢幕快照,其中包含返回並繼續取消的選項。

    若要取消 Azure 訂用帳戶,請選取 [繼續取消]。 當您選取 [繼續取消] 時,訂用帳戶會取消,且該訂用帳戶的所有警示都會標示為 [已 解決],原因 為 [詐騙]。

    如需詳細資訊,請參閱 取消 Azure 訂用帳戶

  • 管理訂用帳戶:此動作會代表 [AOBO] 使用系統管理員,將您帶到 Azure 入口網站。 根據客戶授與您存取權的層級,您可以進一步調查警示詳細數據中所指出的資源。 如需詳細資訊,請參閱 管理 Azure 方案下的訂用帳戶和資源。

  • 回到警示:此動作會帶警示 清單返回安全性警示 儀錶板。

安全性警示儀錶板上的動作

安全性警示儀錶板上的警示清單上方是您可以採取的兩個動作。

此螢幕快照顯示 [安全性警示] 儀錶板,以及取消訂用帳戶和匯出資訊的選項。

  • 取消訂用帳戶:您必須同時擁有全域管理員和管理員代理程式角色,才能使用此動作。 如果您的警示調查指出未經授權的合作對象超過 Azure 訂用帳戶,您可以選取 [取消 訂用帳戶] 來解除分配 Azure 訂用帳戶中的所有資源,並在保留期間之後標示訂用帳戶中的所有數據以進行刪除。

    在採取此動作之前,建議您與客戶溝通警示,並(可能的話)同意取消訂用帳戶。 當您選取按鈕時,會出現對話框,並要求您確認您了解此動作的影響。

    若要 取消 Azure 訂用帳戶,請選取 [繼續取消]。

    顯示取消訂閱之確認對話框的螢幕快照。

  • 匯出:如果您想要匯出警示的所有詳細資訊,您可以使用匯出動作來下載包含警示資訊的逗號分隔值 (CSV) 檔案。

    此動作只會產生 CSV 檔案,其中包含您目前檢視的警示。 若要調整您想要導出的警示,請使用 [ 篩選] 選項。

相關內容