Detección de alertas de seguridad y respuesta a ellas

Roles adecuados: Agente de administración

Se aplica a: Factura directa del Centro de partners y proveedores indirectos

A partir de mayo de 2023, puede suscribirse a una nueva alerta de seguridad para las detecciones relacionadas con el abuso de parte no autorizado y las adquisicións de cuentas. Esta alerta de seguridad es una de las muchas maneras en que Microsoft proporciona los datos que necesita para proteger los inquilinos del cliente.

Importante

Como asociado en el programa Proveedor de soluciones en la nube (CSP), es responsable del consumo de Azure de los clientes, por lo que es importante que conozca cualquier uso anómalo en las suscripciones de Azure del cliente. Use alertas de seguridad de Microsoft Azure para detectar patrones de actividades fraudulentas y uso incorrecto en los recursos de Azure para ayudar a reducir la exposición a los riesgos de transacción en línea. Las alertas de seguridad de Microsoft Azure no detectan todos los tipos de actividades fraudulentas o uso indebido, por lo que es fundamental usar métodos adicionales de supervisión para ayudar a detectar el uso anómalo en las suscripciones de Azure de su cliente. Para obtener más información, consulte Administración de pagos, fraudes o uso indebido y Administración de cuentas de cliente.

Acción requerida: con la supervisión y el reconocimiento de señales, puede tomar medidas inmediatas para determinar si el comportamiento es legítimo o fraudulento. Si es necesario, puede suspender los recursos de Azure afectados o las suscripciones de Azure para mitigar un problema.

Asegúrese de que la dirección de correo electrónico preferida para los agentes de Administración partner está actualizada, para que puedan recibir notificaciones junto con los contactos de seguridad.

Suscribirse a las notificaciones de alertas de seguridad

Puede suscribirse a varias notificaciones de asociados en función de su rol.

Las alertas de seguridad le notifican cuando la suscripción de Azure del cliente muestra posibles actividades anómalas.

Obtención de alertas por correo electrónico

1. Inicie sesión en el Centro de partners y seleccione Notificaciones (campana).
2. Seleccione Mis preferencias.
3. Establezca una dirección de correo electrónico preferida si aún no lo ha hecho.
4. Establezca el idioma preferido para la notificación si aún no lo ha hecho.
5. Seleccione Editar junto a Preferencias de notificación por correo electrónico.
6. Active todas las casillas relacionadas con Clientes en la columna Área de trabajo. (Para cancelar la suscripción, anule la selección de la sección transaccional en el área de trabajo del cliente).
7. Seleccione Guardar.

Se envían alertas de seguridad cuando detectamos posibles actividades de alertas de seguridad o uso incorrecto en algunas de las suscripciones de Microsoft Azure de sus clientes. Hay tres tipos de correos electrónicos:

• Resumen diario de alertas de seguridad sin resolver (recuento de asociados, clientes y suscripciones afectados por varios tipos de alertas)
• Alertas de seguridad casi en tiempo real. Para obtener una lista de las suscripciones de Azure que tienen posibles problemas de seguridad, consulte Obtención de eventos de fraude.
• Notificaciones de aviso de seguridad casi en tiempo real. Estas notificaciones proporcionan visibilidad de las notificaciones enviadas al cliente cuando hay una alerta de seguridad.

Los asociados de facturación directa de CSP pueden ver más alertas para las actividades, por ejemplo: uso anómalo de proceso, minería de cifrado, uso de Azure Machine Learning y notificaciones de aviso de estado del servicio.

Obtención de alertas a través de un webhook

A partir de enero de 2023, los partners pueden registrarse en un evento de webhook: azure-fraud-event-detected para recibir alertas de eventos de cambio de recursos. Para obtener más información, consulte Eventos de webhook del Centro de partners.

Consulte y responda a las alertas a través del panel Alertas de seguridad

A partir de mayo de 2023, los asociados de CSP pueden acceder al panel alertas de seguridad del Centro de partners para detectar y responder a las alertas. Para obtener más información, consulte Respuesta a eventos de seguridad con el panel de alertas de seguridad del Centro de partners.

Obtención de detalles de alertas a través de la API

A partir de mayo de 2023, los asociados de CSP pueden usar la API FraudEvents para obtener señales de detección adicionales mediante X-NewEventsModel. Con este modelo, puede obtener nuevos tipos de alertas a medida que se agregan al sistema, por ejemplo, uso anómalo de proceso, minería de cifrado, uso de Azure Machine Learning y notificaciones de aviso de estado del servicio. Se pueden agregar nuevos tipos de alertas con un aviso limitado, ya que las amenazas también evolucionan. Si usa un control especial a través de la API para distintos tipos de alertas, supervise estas API para ver los cambios:

• Obtener eventos de fraude
• Actualizar el estado del evento de fraude

Qué hacer cuando reciba una notificación de alerta de seguridad

La siguiente lista de comprobación proporciona los pasos siguientes sugeridos para saber qué hacer al recibir una notificación de seguridad.

• Compruebe que la notificación por correo electrónico es válida. Cuando se envían alertas de seguridad, se envían desde Microsoft Azure, con la dirección de correo electrónico: no-reply@microsoft.com. Los partners solo reciben notificaciones de Microsoft.
• Cuando se le notifique, también puede ver la alerta de correo electrónico en el portal del Centro de actividades. Seleccione el icono de campana para ver las alertas del Centro de actividades.
• Revise las suscripciones de Azure. Determine si la actividad de la suscripción es legítima y esperada, o si la actividad podría deberse a abusos o fraudes no autorizados.
• Háganos saber lo que encontró, ya sea mediante el panel Alertas de seguridad o desde la API. Para más información sobre el uso de la API, consulte Actualización del estado del evento de fraude. Use las siguientes categorías para describir lo que encontró:
  • Legítimo : se espera la actividad o una señal de falso positivo.
  • Fraude: la actividad se debe a abusos o fraudes no autorizados.
  • Omitir : la actividad es una alerta anterior y debe omitirse. Para más información, consulte ¿Por qué los asociados reciben alertas de seguridad más antiguas?.

¿Qué pasos adicionales puede llevar a cabo para reducir el riesgo de riesgo?

• Habilite la autenticación multifactor (MFA) en los inquilinos de cliente y asociado. Las cuentas que tienen permisos para administrar las suscripciones de Azure de los clientes deben ser compatibles con MFA. Para más información, consulte Proveedor de soluciones en la nube procedimientos recomendados de seguridad y Procedimientos recomendados de seguridad del cliente.
• Configure alertas para supervisar los permisos de acceso basado en rol (RBAC) de Azure en las suscripciones de Azure de los clientes. Para más información, consulte Plan de Azure: Administración de suscripciones y recursos.
  • Auditar los cambios de permisos en las suscripciones de Azure de los clientes. Revise el registro de actividad de Azure Monitor para la actividad relacionada con la suscripción de Azure.
• Revise las anomalías de gasto en el presupuesto de gasto en Azure Cost Management.
• Eduque y trabaje con los clientes para reducir la cuota sin usar para evitar los daños permitidos en la suscripción de Azure: Introducción a las cuotas: Cuotas de Azure.
  • Envío de una solicitud para administrar la cuota de Azure: creación de una solicitud de Soporte técnico de Azure: Soporte técnico de Azure bilidad
  • Revise el uso de cuota actual: Referencia de la API REST de cuota de Azure
  • Si está ejecutando cargas de trabajo críticas que requieren una alta capacidad, considere la posibilidad de reservar capacidad a petición o instancias de máquinas virtuales reservadas de Azure.

¿Qué debe hacer si se ha puesto en peligro una suscripción de Azure?

Tome medidas inmediatas para proteger la cuenta y los datos. Estas son algunas sugerencias y sugerencias para responder rápidamente y contener un posible incidente para reducir su impacto y el riesgo empresarial general.

La corrección de las identidades en peligro en un entorno de nube es fundamental para garantizar la seguridad general de los sistemas basados en la nube. Las identidades en peligro pueden proporcionar a los atacantes acceso a datos y recursos confidenciales, lo que hace esencial tomar medidas inmediatas para proteger la cuenta y los datos.

• Cambie inmediatamente las credenciales para:

  • Administradores de inquilinos y acceso RBAC en suscripciones de Azure ¿Qué es el control de acceso basado en rol de Azure (RBAC de Azure)?
  • Siga las instrucciones de contraseña. Recomendaciones de directivas de contraseñas
  • Asegúrese de que todos los administradores de inquilinos y los propietarios de RBAC tienen MFA registrado y aplicado

• Revise y compruebe todos los correos electrónicos de recuperación de contraseñas de usuario administrador global y números de teléfono dentro de Microsoft Entra ID. Actualícelos si es necesario. Recomendaciones de directivas de contraseñas

• Revise qué usuarios, inquilinos y suscripciones están en riesgo dentro del Azure Portal.

  • Investigue el riesgo; para ello, vaya a Microsoft Entra ID para revisar los informes de riesgo de Identity Protection. Para más información, consulte Investigar Protección de id. de Microsoft Entra de riesgo.
  • Requisitos de licencia para Identity Protection
  • Corregir riesgos y desbloquear usuarios
  • Experiencia del usuario con la protección de Microsoft Entra ID

• Revise los registros de inicio de sesión de Microsoft Entra en el inquilino del cliente para ver patrones de inicio de sesión inusuales en torno al momento en que se desencadena la alerta de seguridad.

Después de expulsar a los actores malintencionados, limpie los recursos en peligro. Manténgase atento a la suscripción afectada para asegurarse de que no haya ninguna actividad sospechosa adicional. También es recomendable revisar periódicamente los registros y los seguimientos de auditoría para asegurarse de que su cuenta es segura.

• Compruebe si hay alguna actividad no autorizada en el registro de actividad de Azure, por ejemplo, cambios en nuestra facturación, uso de elementos de línea de consumo comercial no facturados o configuraciones.
• Revise las anomalías de gasto en relación con el presupuesto de gasto del cliente en Azure Cost Management.
• Deshabilite o elimine los recursos en peligro:
  • Identificar y expulsar al actor de amenazas: use los recursos de seguridad de Microsoft y Azure para ayudar a recuperarse del riesgo de identidad sistémica.
  • Compruebe el registro de actividad de Azure cualquier cambio en el nivel de suscripción.
  • Desasigne y quite los recursos creados por parte no autorizada. Vea Cómo mantener la suscripción de Azure limpia | Azure Recomendaciones y trucos (vídeo)
  • Puede cancelar las suscripciones de Azure de los clientes a través de la API (Cancelar un derecho de Azure) o mediante el portal del Centro de partners.
  • Póngase en contacto con Soporte técnico de Azure inmediatamente e informe del incidente
  • Limpieza del almacenamiento después del evento: Búsqueda y eliminación de discos administrados y no administrados de Azure no conectados: Azure Virtual Machines

Evitar el riesgo de la cuenta es más fácil que recuperarse de ella. Por lo tanto, es importante reforzar la posición de seguridad.

• Revise la cuota de las suscripciones de Azure de los clientes y envíe la solicitud para reducir la cuota sin usar. Para obtener más información, consulte Reducir cuota.
• Revise e implemente los procedimientos recomendados de seguridad de Proveedor de soluciones en la nube.
• Trabaje con sus clientes para aprender e implementar los procedimientos recomendados de seguridad del cliente.
• Asegúrese de que Defender for Cloud está activado (hay un nivel gratuito disponible para este servicio).

Para obtener más información, consulte el artículo compatibilidad.

Más herramientas para la supervisión

• Configuración de alertas desde Azure Portal
• Establecer, comprobar o quitar los presupuestos de gastos mensuales de Azure para los clientes del Centro de partners

Preparación de los clientes finales

Microsoft envía notificaciones a las suscripciones de Azure, que van a los clientes finales. Trabaje con el cliente final para asegurarse de que puede actuar correctamente y se le avise de varios problemas de seguridad dentro de su entorno:

• Configure alertas de uso con Azure Monitor o Azure Cost Management.
• Configure alertas de Service Health para tener en cuenta otras notificaciones de Microsoft sobre la seguridad y otros problemas relacionados.
• Trabaje con la Administración de inquilino de su organización (si el partner no administra esto) para aplicar medidas de seguridad mejoradas en el inquilino (consulte la sección siguiente).

Información adicional para proteger el inquilino

• Revise e implemente los procedimientos recomendados de seguridad operativa para los recursos de Azure.

• Aplique la autenticación multifactor para reforzar la posición de seguridad de la identidad.

• Implemente directivas de riesgo y alertas para usuarios e inicios de sesión de alto riesgo: ¿Qué es Protección de id. de Microsoft Entra?.

Si sospecha un uso no autorizado de la suscripción de Azure de su cliente o de su cliente, póngase en contacto con el soporte técnico de Microsoft Azure para que Microsoft pueda ayudar a acelerar cualquier otra pregunta o preocupación.

Si tiene preguntas específicas sobre el Centro de partners, envíe una solicitud de soporte técnico en el Centro de partners. Para obtener más información: Obtener soporte técnico en el Centro de partners.

Comprobación de las notificaciones de seguridad en Registros de actividad

1. Inicie sesión en el Centro de partners y seleccione el icono de configuración (engranaje) en la esquina superior derecha y, a continuación, seleccione el área de trabajo Configuración de la cuenta.
2. Vaya a Registros de actividad en el panel izquierdo.
3. Establezca las fechas From y To en el filtro superior.
4. En Filtrar por tipo de operación, seleccione Evento de fraude de Azure Detectado. Debería poder ver todos los eventos de alertas de seguridad detectados durante el período seleccionado.

¿Por qué los asociados reciben alertas de seguridad de Azure anteriores?

Microsoft ha estado enviando alertas de fraude de Azure desde diciembre de 2021. Sin embargo, en el pasado, la notificación de alerta se basaba solo en las preferencias de participación, donde los partners tenían que optar por recibir aviso. Hemos cambiado este comportamiento. Los asociados ahora deben resolver todas las alertas de fraude (incluidas las alertas antiguas) que están abiertas. Siga los procedimientos recomendados de seguridad de Proveedor de soluciones en la nube para proteger la posición de seguridad de sus clientes y sus clientes.

Microsoft envía el resumen diario del fraude (este es el recuento de asociados, clientes y suscripciones afectados) si hay una alerta de fraude no resuelta activa en los últimos 60 días.

¿Por qué no veo todas las alertas?

Las notificaciones de alertas de seguridad se limitan a detectar patrones de determinadas acciones anómalas en Azure. Las notificaciones de alerta de seguridad no detectan y no se garantiza que detecten todos los comportamientos anómalos. Es fundamental usar otros métodos de supervisión para ayudar a detectar el uso anómalo en las suscripciones de Azure del cliente, como los presupuestos mensuales de gastos de Azure. Si recibe una alerta significativa y es un falso negativo, póngase en contacto con el soporte técnico para partners y proporcione la siguiente información:

• Id. de inquilino del asociado
• Identificador de inquilino de cliente
• Id. de suscripción
• Id. de recurso
• Impacto en las fechas de inicio y finalización del impacto

Pasos siguientes

• Integración con la API de alertas de seguridad y registro de un webhook.