Responder a eventos de seguridad con el panel Alertas de seguridad

  • Artículo

Roles adecuados: Agente de administración

Se aplica a: Factura directa del Centro de partners y proveedores indirectos

El panel Alertas de seguridad del Centro de partners ayuda a los partners a responder rápidamente a los eventos de seguridad, fraude y otros eventos que se producen en el Centro de partners o en el inquilino de su cliente.

API

Para los partners que tienen varios inquilinos de Microsoft Entra del Centro de partners, puede usar las siguientes API para obtener y actualizar alertas en lugar de usar el panel Alertas:

Requisitos previos

Para usar el panel Alertas de seguridad del Centro de partners, a la cuenta de usuario se le debe asignar el rol de agente de Administración.

La importancia de la respuesta oportuna a las alertas

Cuando se crea una alerta en el panel, es fundamental evaluar y mitigar el incidente que provocó la alerta lo antes posible. Como principio rector, se recomienda responder a las alertas en un plazo de una hora. En el caso de las alertas de tipo fraude , cuanto más tiempo tarde en responder y mitigar el incidente que provocó la alerta, el mayor impacto financiero podría acumularse.

Para acceder al panel alertas de seguridad del Centro de partners:

  1. Inicie sesión en el Centro de partners con un usuario con el rol de agente de Administración.
  2. Seleccione el área de trabajo Ideas.
  3. En el menú de navegación izquierdo, en Seguridad, seleccione Alertas.

Visualización de alertas

La página Alertas muestra lo siguiente:

  • Nuevas alertas de esta semana : número de nuevas alertas durante los últimos siete días.
  • Resuelto : número de alertas que se resuelven con un motivo especificado (por ejemplo, Legítimo o Fraude).
  • Activo y en curso : número de alertas sin resolver que necesitan atención.

Screenshot showing the Partner Center Alerts screen, including average response time, new alerts this week, resolved, and Active and In Progress.

En la sección inferior de la página de alertas se enumeran las alertas que afectan al inquilino del Centro de partners en el que ha iniciado sesión.

Screenshot showing the Alerts page, and actions you can take, including Cancel subscription and Export.

  • Nombre de alerta: este nombre muestra información de alto nivel sobre lo que se detectó.
  • Identificador de suscripción: este identificador se muestra cuando se detecta una alerta en una suscripción de Azure específica.
  • Identificador de alerta: identificador único de la alerta.
  • Estado de la alerta: estado de la alerta (activa o resuelta).
  • Primer observado : la primera vez que se mostró la alerta.
  • Última observación : la hora más reciente en que se mostró la alerta.
  • Tipo de alerta: el tipo de actividad que se detectó y provocó la alerta. Hay dos tipos de alerta:
    • Notificaciones de Azure: esta alerta indica que se envió un mensaje al cliente de la suscripción de Azure afectada y se mostró como una notificación de Service Health . En los detalles de la alerta se muestra una copia de este mensaje.
    • Uso de Azure: esta alerta indica un aumento inusual de la actividad en la suscripción de Azure o una actividad anómala que se produce en la suscripción, por ejemplo, minería de moneda criptográfica.
  • Gravedad : indica el nivel de urgencia que se debe tomar al responder a la alerta.

La opción Filtro permite cambiar qué alertas se muestran en la página Alerta.

La búsqueda le permite buscar todas las alertas de la información que escriba en el campo de búsqueda y abre la página Alerta . Se buscan los siguientes campos:

  • Id. de suscripción
  • Id. de alerta
  • Nombre del cliente

Acciones en la página Detalles de alerta

Ejemplo de la página Detalles de alerta:

Para ver más detalles sobre una alerta, seleccione el nombre de la alerta. Por ejemplo, la siguiente alerta de ejemplo muestra el comportamiento relacionado con la minería de moneda criptográfica que se produce en una suscripción de Azure.

Screenshot showing alert details.

En la parte superior de la página Detalles de alerta, se muestra la información del cliente y el revendedor (si procede).

La descripción de la alerta proporciona información general sobre por qué se produjo la alerta junto con los pasos para investigar.

En la sección Recursos afectados se muestra la siguiente información:

  • Información de recursos: detalle sobre los recursos implicados en la detección que provocó la alerta. En este ejemplo, hay una máquina virtual denominada "badvmtest" en el grupo de recursos "testserver". La hora de la primera conexión y la hora de la última conexión indican cuándo se detectó por primera vez este recurso en contacto con un grupo de minería de datos conocido y la hora más reciente que se observó.

  • Información adicional: si hay detalles disponibles sobre el comportamiento mostrado por el recurso, se muestran aquí. En este ejemplo, la máquina virtual "badvmtest" se comunica con la dirección IP de un grupo de minería de datos conocido. La sección Información del recurso muestra que está conectada a la dirección IP cuatro veces entre la hora de la primera conexión y la hora de la última conexión.

  • Barra de acciones: cuando complete la investigación en la alerta, seleccione una acción para indicar al Centro de partners lo que ha descubierto. Al seleccionar una acción, se marca la alerta Resuelta. La acción que seleccione indica el motivo por el que va a resolver la alerta. Las opciones proporcionadas son:

    • Marcar como legítimo : ha investigado los recursos y no ha encontrado ninguna evidencia de lo que indica la alerta o al comprobar con el cliente, indican que se espera el comportamiento.
    • Marcar como fraude : ha investigado los recursos y ha encontrado que estaban realizando el comportamiento indicado por la alerta.

  • Recursos : use los vínculos de esta sección de la alerta para obtener más información sobre las alertas y qué hacer cuando reciba una alerta.

    Screenshot showing an example of an alert, where options include Mark as legitimate or Mark as fraud.

  • Recursos : obtenga más información sobre las alertas y qué hacer cuando reciba una alerta.

Seleccione una alerta para abrir la página Detalles de alerta.

Acciones en la página Detalles de alerta

Ejemplo de la página Detalles de alerta:

Screenshot showing the bottom of a security alert, with options to Cancel subscription, manage subscription, or Back to Alerts.

En la página Detalle de alerta de ejemplo se muestran tres acciones que puede realizar.

  • Cancelar suscripción: debe tener roles globales de Administración istrator y agente de Administración para usar esta acción. Si la investigación en la alerta indica que una entidad no autorizada sobrepone la suscripción de Azure, puede seleccionar Cancelar suscripción para desasignar todos los recursos de la suscripción de Azure y marcar todos los datos de la suscripción para su eliminación después del período de retención. Antes de realizar esta acción, se recomienda comunicarse con el cliente sobre la alerta y, si es posible, obtener su consentimiento para cancelar la suscripción. Al seleccionar este botón, verá la siguiente página de confirmación para asegurarse de que comprende el impacto de esta acción. Seleccione Continuar con la cancelación para cancelar la suscripción de Azure. Al seleccionar Continuar con la cancelación, la suscripción se cancela y todas las alertas de esa suscripción se marcan como Resueltas con el motivo Fraude.

    Screenshot showing the Cancel subscription dialog, with options: Go back and Continue with cancellation.

    Para más información, consulte Cancelar una suscripción de Azure.

  • Administrar suscripción: la acción Administrar suscripción le lleva al Portal de administración de Azure mediante Administración en nombre de . En función del nivel de acceso concedido por el cliente, es posible que pueda investigar aún más los recursos indicados en detalle de la alerta. Para más información, consulte Administración de suscripciones y recursos en el plan de Azure.

  • Volver a las alertas: le devuelve a la página principal del Panel de alertas con la lista de alertas.

Acciones en la página Alerta

Encima de la lista de alertas de la página Alerta hay dos acciones que puede realizar.

Screenshot showing the Alerts page, and actions you can take, including Cancel subscription and Export.

  • Cancelar suscripción: debe tener roles globales de Administración istrator y agente de Administración para usar esta acción. Si la investigación en la alerta indica que una entidad no autorizada sobrepone la suscripción de Azure, puede seleccionar Cancelar suscripción para desasignar todos los recursos de la suscripción de Azure y marcar todos los datos de la suscripción para su eliminación después del período de retención. Antes de realizar esta acción, se recomienda comunicarse con el cliente sobre la alerta y, si es posible, obtener su consentimiento para cancelar la suscripción. Después de seleccionar este botón, verá la siguiente página de confirmación para asegurarse de que comprende el impacto de esta acción. Seleccione Continuar con la cancelación para cancelar la suscripción de Azure.

    Screenshot showing the Cancel subscription page, with options to Go Back or Continue with Cancellation.

  • Exportar: si desea exportar toda la información detallada sobre las alertas, puede usar la acción Exportar para descargar un archivo CSV (valor separado por comas) que contenga la información de alerta. Nota: La exportación genera un archivo CSV con solo las alertas que se están viendo actualmente. Ajuste la opción Filtro para mostrar la alerta que desea exportar.

Pasos siguientes

Notificación y detección de fraudes de Azure