Udostępnij za pośrednictwem

Reagowanie na zdarzenia zabezpieczeń za pomocą pulpitu nawigacyjnego Alerty zabezpieczeń

  • Artykuł

Odpowiednie role: agent Administracja

Dotyczy: Bezpośredni rachunek w Centrum partnerskim i dostawcy pośredni

Pulpit nawigacyjny Alerty zabezpieczeń Centrum partnerskiego pomaga partnerom szybko reagować na zabezpieczenia, oszustwa i inne zdarzenia występujące w Centrum partnerskim lub dzierżawie klienta.

interfejs API

W przypadku partnerów, którzy mają wiele dzierżaw w Centrum partnerskim Firmy Microsoft, możesz użyć następujących interfejsów API, aby uzyskać i zaktualizować alerty zamiast korzystać z pulpitu nawigacyjnego Alerty:

Wymagania wstępne

Aby korzystać z pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego, konto użytkownika musi mieć przypisaną rolę agenta Administracja.

Znaczenie terminowej odpowiedzi na alerty

Po utworzeniu alertu na pulpicie nawigacyjnym ważne jest, aby jak najszybciej sklasyfikować i wyeliminować zdarzenie, które spowodowało alert. Jako zasada przewodnia zalecamy reagowanie na alerty w ciągu jednej godziny. W przypadku alertów typu oszustwa tym dłużej trwa reagowanie i eliminowanie zdarzenia, które spowodowały alert, tym większy wpływ finansowy może być potencjalnie naliczany.

Aby uzyskać dostęp do pulpitu nawigacyjnego Alerty zabezpieczeń Centrum partnerskiego:

  1. Zaloguj się do Centrum partnerskiego przy użyciu roli agenta Administracja.
  2. Wybierz obszar roboczy Szczegółowe informacje.
  3. W menu nawigacji po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Alerty.

Wyświetlanie alertów

Na stronie Alerty są wyświetlane następujące elementy:

  • Nowe alerty w tym tygodniu — liczba nowych alertów z ostatnich siedmiu dni.
  • Rozwiązano — liczba alertów, które zostały rozwiązane z określonym powodem (na przykład Legalne lub Oszustwa).
  • Aktywne i w toku — liczba nierozwiązanych alertów wymagających uwagi.

Zrzut ekranu przedstawiający ekran Alerty Centrum partnerskiego, w tym średni czas odpowiedzi, nowe alerty w tym tygodniu, rozwiązane i Aktywne i W toku.

W dolnej sekcji strony alertu są wyświetlane alerty wpływające na dzierżawę Centrum partnerskiego, do której się logujesz.

Zrzut ekranu przedstawiający stronę Alerty i akcje, które można wykonać, w tym Anulowanie subskrypcji i Eksportowanie.

  • Nazwa alertu — ta nazwa zawiera ogólne informacje o wykrytych elementach.
  • Identyfikator subskrypcji — ten identyfikator jest wyświetlany po wykryciu alertu w określonej subskrypcji platformy Azure.
  • Identyfikator alertu — unikatowy identyfikator alertu.
  • Stan alertu — stan alertu (aktywny lub rozwiązany).
  • Po raz pierwszy zaobserwowano — przy pierwszym wyświetleniu alertu.
  • Ostatnio zaobserwowano — ostatni raz został wyświetlony alert.
  • Typ alertu — typ wykrytego działania i spowodował alert. Istnieją dwa typy alertów:
    • Azure Notifications — ten alert wskazuje, że komunikat został wysłany do klienta objętej subskrypcji platformy Azure i wyświetlony jako powiadomienie usługi Service Health . Kopia tej wiadomości jest wyświetlana w szczegółach alertu.
    • Użycie platformy Azure — ten alert wskazuje na nietypowy wzrost aktywności w subskrypcji platformy Azure lub nietypowe działanie występujące w subskrypcji, na przykład wyszukiwanie walut kryptograficznych.
  • Ważność — wskazuje poziom pilności, który należy podjąć podczas reagowania na alert.

Opcja Filtr umożliwia zmianę alertów wyświetlanych na stronie Alert.

Wyszukiwanie umożliwia wyszukiwanie wszystkich alertów dotyczących informacji wprowadzonych w polu wyszukiwania i otwarcie strony Alert . Przeszukane są następujące pola:

  • Identyfikator subskrypcji
  • Identyfikator alertu
  • Nazwa klienta

Akcje na stronie szczegółów alertu

Przykład strony szczegółów alertu:

Aby wyświetlić więcej szczegółów na temat alertu, wybierz nazwę alertu. Na przykład poniższy przykładowy alert pokazuje zachowanie związane z wyszukiwaniem kryptowalut występującym w subskrypcji platformy Azure.

Zrzut ekranu przedstawiający szczegóły alertu związane z górnictwem kryptowalut.

W górnej części strony Szczegółów alertu są wyświetlane informacje o kliencie i odsprzedawcy (jeśli ma to zastosowanie).

Opis alertu zawiera omówienie przyczyny wystąpienia alertu wraz z krokami do zbadania.

Sekcja Zasoby , których to dotyczy, zawiera następujące informacje:

  • Informacje o zasobach — szczegółowe informacje o zasobach, które brały udział w wykryciu, które spowodowało alert. W tym przykładzie istnieje maszyna wirtualna o nazwie "badvmtest" w grupie zasobów "testserver". Pierwszy czas połączenia i Czas ostatniego połączenia wskazują, kiedy po raz pierwszy wykryliśmy ten zasób kontaktujący się ze znaną pulą wydobywczą, a ostatni raz zaobserwowano.

  • Dodatkowe informacje — jeśli są dostępne szczegółowe informacje o zachowaniu wystawionym przez zasób, są one wyświetlane tutaj. W tym przykładzie maszyna wirtualna "badvmtest" komunikowała się z adresem IP znanej puli wyszukiwania. Sekcja Informacje o zasobie pokazuje, że jest on połączony z adresem IP cztery razy między czasem pierwszego połączenia a czasem ostatniego połączenia.

  • Pasek akcji — po zakończeniu badania alertu wybierz akcję, aby poinformować Centrum partnerskie o wykrytej akcji. Wybranie akcji oznacza alert Rozwiązany. Wybrana akcja wskazuje przyczynę rozwiązania alertu. Dostępne opcje to:

    • Oznacz jako uzasadnione — zbadano zasoby i nie znaleziono żadnych dowodów na to, co wskazano w alercie lub po sprawdzeniu u klienta, wskazują one, że zachowanie jest oczekiwane.
    • Oznacz jako oszustwo — zbadano zasoby i stwierdzono, że działają one zgodnie z zachowaniem wskazywanym przez alert.

  • Zasoby — skorzystaj z linków w tej sekcji alertu, aby dowiedzieć się więcej na temat alertów i czynności, które należy wykonać po otrzymaniu alertu.

    Zrzut ekranu przedstawiający przykład alertu, w którym opcje obejmują oznaczenie jako wiarygodne lub Oznacz jako oszustwo.

  • Zasoby — dowiedz się więcej na temat alertów i czynności, które należy wykonać po otrzymaniu alertu.

Wybierz alert, aby otworzyć stronę Szczegóły alertu.

Akcje na stronie Szczegóły alertu

Przykład strony szczegółów alertu:

Zrzut ekranu przedstawiający dół alertu zabezpieczeń z opcjami Anulowania subskrypcji, zarządzania subskrypcją lub Powrót do alertów.

Przykładowa strona Szczegóły alertu zawiera trzy akcje, które można wykonać.

  • Anuluj subskrypcję — aby użyć tej akcji, musisz mieć zarówno role globalnego Administracja istratora, jak i agenta Administracja. Jeśli badanie alertu wskazuje, że subskrypcja platformy Azure została wyprzedzona przez nieautoryzowaną osobę, możesz wybrać pozycję Anuluj subskrypcję , aby cofnąć przydział wszystkich zasobów w subskrypcji platformy Azure i oznaczyć wszystkie dane w subskrypcji do usunięcia po okresie przechowywania. Przed podjęciem tej akcji zalecamy komunikowanie się z klientem o alercie i, jeśli to możliwe, uzyskanie zgody na anulowanie subskrypcji. Po wybraniu tego przycisku zostanie wyświetlona następująca strona potwierdzenia, aby upewnić się, że rozumiesz wpływ tej akcji. Wybierz pozycję Kontynuuj z anulowaniem , aby anulować subskrypcję platformy Azure. Po wybraniu pozycji Kontynuuj anulowanie subskrypcja zostanie anulowana, a wszystkie alerty dla tej subskrypcji zostaną oznaczone jako Rozwiązane z przyczyną Oszustwa.

    Zrzut ekranu przedstawiający okno dialogowe Anulowanie subskrypcji z opcjami: Wróć i Kontynuuj z anulowaniem.

    Aby uzyskać więcej informacji, zobacz Anulowanie subskrypcji platformy Azure.

  • Zarządzanie subskrypcją — akcja Zarządzaj subskrypcją powoduje przejście do portalu zarządzania Platformy Azure przy użyciu Administracja w imieniu. Na podstawie poziomu dostępu przyznanego użytkownikowi przez klienta może być możliwe dalsze zbadanie zasobów wskazanych w szczegółach alertu. Aby uzyskać więcej informacji, zobacz Zarządzanie subskrypcjami i zasobami w ramach planu platformy Azure.

  • Powrót do alertów — zwraca cię do głównej strony pulpitu nawigacyjnego alertów z listą alertów.

Akcje na stronie Alert

Nad listą alertów na stronie Alert są dwie akcje, które można wykonać.

Zrzut ekranu przedstawiający stronę Alerty i akcje, które można wykonać, w tym Anulowanie subskrypcji i Eksportowanie.

  • Anuluj subskrypcję — aby użyć tej akcji, musisz mieć zarówno role globalnego Administracja istratora, jak i agenta Administracja. Jeśli badanie alertu wskazuje, że subskrypcja platformy Azure została wyprzedzona przez nieautoryzowaną osobę, możesz wybrać pozycję Anuluj subskrypcję , aby cofnąć przydział wszystkich zasobów w subskrypcji platformy Azure i oznaczyć wszystkie dane w subskrypcji do usunięcia po okresie przechowywania. Przed podjęciem tej akcji zalecamy komunikowanie się z klientem o alercie i, jeśli to możliwe, uzyskanie zgody na anulowanie subskrypcji. Po wybraniu tego przycisku zostanie wyświetlona następująca strona potwierdzenia, aby upewnić się, że rozumiesz wpływ tej akcji. Wybierz pozycję Kontynuuj z anulowaniem , aby anulować subskrypcję platformy Azure.

    Zrzut ekranu przedstawiający stronę Anuluj subskrypcję z opcjami Przejdź wstecz lub Kontynuuj z anulowaniem.

  • Eksportuj — jeśli chcesz wyeksportować wszystkie szczegółowe informacje o alertach, możesz użyć akcji Eksportuj, aby pobrać plik CSV (wartość rozdzielona przecinkami) zawierający informacje o alercie. Uwaga: Eksport tworzy plik CSV z aktualnie wyświetlanymi alertami. Dostosuj opcję Filtr, aby wyświetlić alert, który chcesz wyeksportować.

Następne kroki

Wykrywanie i powiadamianie o oszustwach na platformie Azure