Detetar e responder a alertas de segurança
Funções apropriadas: Agente de administração
Aplica-se a: Partner Center Direct Bill e Provedores Indiretos
Pode subscrever um novo alerta de segurança para deteções relacionadas com abuso de partes não autorizadas e aquisições de contas. Este alerta de segurança é uma das muitas formas como a Microsoft fornece os dados de que necessita para proteger os inquilinos do seu cliente. Pode subscrever um novo alerta de segurança para deteções relacionadas com abuso de partes não autorizadas e aquisições de contas. Este alerta de segurança é uma das muitas formas como a Microsoft fornece os dados de que necessita para proteger os inquilinos do seu cliente.
Importante
Como parceiro no programa Fornecedor de Soluções na Nuvem (CSP), é responsável pelo consumo do Azure dos seus clientes, por isso é importante que esteja ciente de qualquer utilização anómala nas subscrições do Azure do seu cliente. Use alertas de segurança do Microsoft Azure para detetar padrões de atividades fraudulentas e uso indevido nos recursos do Azure para ajudar a reduzir sua exposição a riscos de transações online. Os alertas de segurança do Microsoft Azure não detetam todos os tipos de atividades fraudulentas ou uso indevido, por isso é fundamental que você use métodos adicionais de monitoramento para ajudar a detetar o uso anômalo nas assinaturas do Azure do seu cliente. Para saber mais, consulte Gerenciando falta de pagamento, fraude ou uso indevido e Gerenciando contas de clientes.
Ação necessária: Com monitoramento e conscientização de sinais, você pode tomar medidas imediatas para determinar se o comportamento é legítimo ou fraudulento. Se necessário, você pode suspender os recursos afetados do Azure ou as assinaturas do Azure para mitigar um problema.
Certifique-se de que o endereço de e-mail preferido dos seus Agentes Administradores de Parceiros está atualizado, para que possam ser notificados juntamente com os contactos de segurança.
Subscrever notificações de alertas de segurança
Pode subscrever várias notificações de parceiros com base na sua função.
Os alertas de segurança notificam-no quando a subscrição do Azure do seu cliente mostra possíveis atividades anómalas.
Receba alertas por e-mail
- Inicie sessão no Partner Center e selecione Notificações (campainha).
- Selecione Minhas preferências.
- Defina um endereço de e-mail preferido, caso ainda não o tenha feito.
- Defina o idioma preferido para a notificação, caso ainda não o tenha feito.
- Selecione Editarao lado de Preferências de notificação por e-mail.
- Marque todas as caixas relacionadas a Clientes na coluna Espaço de trabalho . (Para cancelar a inscrição, desmarque a seção transacional no espaço de trabalho do cliente.)
- Selecione Guardar.
Enviamos alertas de segurança quando detetamos possíveis atividades de alerta de segurança ou utilização indevida em algumas das subscrições do Microsoft Azure dos seus clientes. Existem três tipos de e-mails:
- Resumo diário de alertas de segurança não resolvidos (contagem de parceiros, clientes e subscrições afetadas por vários tipos de alerta)
- Alertas de segurança quase em tempo real. Para obter uma lista de subscrições do Azure que têm potenciais preocupações de segurança, consulte Obter eventos de fraude.
- Notificações de aviso de segurança quase em tempo real. Essas notificações fornecem visibilidade sobre as notificações enviadas ao cliente quando há um alerta de segurança.
Os parceiros de faturação direta do Fornecedor de Soluções na Nuvem (CSP) podem ver mais alertas para atividades, por exemplo: utilização anómala de computação, mineração de criptomoedas, utilização do Azure Machine Learning e notificações de aconselhamento de estado de funcionamento do serviço. Os parceiros de faturação direta do Fornecedor de Soluções na Nuvem (CSP) podem ver mais alertas para atividades, por exemplo: utilização anómala de computação, mineração de criptomoedas, utilização do Azure Machine Learning e notificações de aconselhamento de estado de funcionamento do serviço.
Receba alertas através de um webhook
Os parceiros podem registar-se num evento webhook: azure-fraud-event-detected para receber alertas para eventos de alteração de recursos. Para saber mais, consulte Eventos de webhook do Partner Center.
Ver e responder a alertas através do painel Alertas de Segurança
Os parceiros CSP podem acessar o painel Alertas de Segurança do Partner Center para detetar e responder a alertas. Para saber mais, consulte Responder a eventos de segurança com o painel Alertas de segurança do Partner Center. Os parceiros CSP podem acessar o painel Alertas de Segurança do Partner Center para detetar e responder a alertas. Para saber mais, consulte Responder a eventos de segurança com o painel Alertas de segurança do Partner Center.
Obter detalhes de alerta através da API
Usar a nova API de Alertas de Segurança do Microsoft Graph (Beta)
Benefícios: A partir de maio de 2024, a versão de visualização da API de Alertas de Segurança do Microsoft Graph estará disponível. Essa API fornece uma experiência unificada de gateway de API em outros serviços da Microsoft, como Microsoft Entra ID, Teams e Outlook.
Requisitos de integração: os parceiros CSP que estão integrando são obrigados a usar a nova API Beta de Alertas de Segurança. Para saber mais, consulte Usar a API de alerta de segurança do parceiro no Microsoft Graph.
A versão V1 da API de Alertas de Segurança do Microsoft Graph será lançada em julho de 2024.
| Caso de utilização | APIs |
|---|---|
| Integre a API do Microsoft Graph para obter o Access Token | Tenha acesso em nome de um utilizador |
| Listar alertas de segurança para obter visibilidade dos alertas | Listar segurançaAlertas |
| Obtenha alertas de segurança para obter visibilidade de um alerta específico com base na parada de consulta selecionada. | Obter partnerSecurityAlert |
| Obter token para chamar as APIs do Partner Center para obter informações de referência | Habilitar modelo de aplicativo seguro |
| Obter as informações do Perfil da sua Organização | Obter um perfil de organização |
| Obtenha as informações do seu Cliente por ID | Obter um cliente por ID |
| Obtenha as informações dos seus Revendedores Indiretos de um Cliente por ID | Obter revendedores indiretos de um cliente |
| Obter informações de Subscrição do Cliente por ID | Obter uma subscrição por ID |
| Atualizar o status do alerta e resolvê-lo quando atenuado | Atualizar partnerSecurityAlert |
Suporte para a API FraudEvents existente
Importante
A API de eventos de fraude herdada será preterida no CY Q4 2024. Para obter mais detalhes, fique atento aos anúncios mensais de segurança do Partner Center. Os parceiros CSP devem migrar para a nova API de Alertas de Segurança do Microsoft Graph, que agora está disponível na visualização.
Durante o período de transição, os parceiros CSP podem continuar a usar a API FraudEvents para obter sinais de deteção adicionais usando X-NewEventsModel. Com esse modelo, você pode obter novos tipos de alertas à medida que são adicionados ao sistema, por exemplo, uso anômalo de computação, mineração de criptomoedas, uso do Azure Machine Learning e notificações de consultoria de integridade do serviço. Novos tipos de alertas podem ser adicionados com aviso limitado, porque as ameaças também estão evoluindo. Se você usar tratamento especial por meio da API para diferentes tipos de alerta, monitore essas APIs para alterações:
O que fazer quando receber uma notificação de alerta de segurança
A lista de verificação a seguir fornece sugestões de próximas etapas sobre o que fazer quando você receber uma notificação de segurança.
- Verifique se a notificação por e-mail é válida. Quando enviamos alertas de segurança, eles são enviados do Microsoft Azure, com o endereço de email:
no-reply@microsoft.com. Os parceiros só recebem notificações da Microsoft. - Quando for notificado, também pode ver o alerta por e-mail no portal do Centro de Ação. Selecione o ícone de sino para ver os alertas da Central de Ações.
- Reveja as subscrições do Azure. Determine se a atividade na assinatura é legítima e esperada, ou se a atividade pode ser devida a abuso ou fraude não autorizados.
- Diga-nos o que encontrou, através do painel Alertas de Segurança ou da API. Para saber mais sobre como usar a API, consulte Atualizar status de evento de fraude. Use as seguintes categorias para descrever o que encontrou:
- Legítimo - A atividade é esperada ou um sinal falso positivo.
- Fraude - A atividade é devida a abuso ou fraude não autorizados.
- Ignorar - A atividade é um alerta antigo e deve ser ignorada. Para saber mais, consulte Por que os parceiros estão recebendo alertas de segurança mais antigos?.
Que outras medidas pode tomar para reduzir o risco de compromisso?
- Habilite a autenticação multifator (MFA) em seus locatários clientes e parceiros. As contas que têm permissões para gerenciar as assinaturas do Azure dos clientes precisam ser compatíveis com MFA. Para saber mais, consulte Práticas recomendadas de segurança do Provedor de Soluções na Nuvem e Práticas recomendadas de segurança do cliente.
- Configure alertas para monitorar suas permissões de acesso RBAC (controle de acesso baseado em função) do Azure nas assinaturas do Azure dos clientes. Para saber mais, consulte Plano do Azure - Gerir subscrições e recursos.
- Audite as alterações de permissão nas assinaturas do Azure de seus clientes. Analise o log de atividades do Azure Monitor para atividades relacionadas à assinatura do Azure.
- Analise as anomalias de gastos em relação ao seu orçamento de gastos no gerenciamento de custos do Azure.
- Eduque e trabalhe com os clientes para reduzir a quota não utilizada para evitar os danos permitidos na subscrição do Azure: Descrição geral das quotas - Quotas do Azure.
- Enviar solicitação para gerenciar a cota do Azure: Como criar uma solicitação de suporte do Azure - Capacidade de suporte do Azure
- Revise o uso atual da cota: Referência da API REST de Cota do Azure
- Se você estiver executando cargas de trabalho críticas que exigem alta capacidade, considere a reserva de capacidade sob demanda ou instâncias de máquina virtual reservadas do Azure
O que você deve fazer se uma assinatura do Azure tiver sido comprometida?
Tome medidas imediatas para proteger a sua conta e os seus dados. Aqui estão algumas sugestões e dicas para responder rapidamente e conter um incidente potencial para reduzir seu impacto e o risco geral do negócio.
Remediar identidades comprometidas em um ambiente de nuvem é crucial para garantir a segurança geral dos sistemas baseados em nuvem. As identidades comprometidas podem fornecer aos atacantes acesso a dados e recursos confidenciais, tornando essencial tomar medidas imediatas para proteger a conta e os dados.
Altere imediatamente as credenciais para:
- Administradores de locatários e acesso RBAC em Assinaturas do Azure O que é o controle de acesso baseado em função do Azure (Azure RBAC)?
- Siga as orientações de senha. Recomendações de política de senha
- Certifique-se de que todos os administradores de locatários e proprietários do RBAC tenham MFA registrado e aplicado
Revise e verifique todos os e-mails e números de telefone de recuperação de senha de usuário administrador global no ID do Microsoft Entra. Atualize-os, se necessário. Recomendações de política de senha
Analise quais usuários, locatários e assinaturas estão em risco no portal do Azure.
- Investigue o risco acessando a ID do Microsoft Entra para revisar os Relatórios de Risco da Proteção de Identidade. Para saber mais, consulte Investigar risco Proteção de ID do Microsoft Entra
- Requisitos de licença para proteção de identidade
- Remediar riscos e desbloquear utilizadores
- Experiências de utilizador com o Microsoft Entra ID Protection
Reveja os registos de início de sessão do Microsoft Entra no inquilino do cliente para ver padrões de início de sessão invulgares no momento em que o alerta de segurança é acionado.
Depois que os agentes mal-intencionados forem removidos, limpe os recursos comprometidos. Fique de olho na assinatura afetada para garantir que não haja mais nenhuma atividade suspeita. Também é uma boa ideia rever regularmente os seus registos e pistas de auditoria para garantir que a sua conta está segura.
- Verifique se há alguma atividade não autorizada no Log de Atividades do Azure, por exemplo, alterações em nossa cobrança, uso para itens de linha de consumo comercial não faturados ou configurações.
- Analise as anomalias de gastos em relação ao orçamento de gastos do cliente no gerenciamento de custos do Azure.
- Desative ou exclua todos os recursos comprometidos:
- Identificar e remover o agente de ameaça: use os recursos de segurança da Microsoft e do Azure para ajudar a se recuperar do comprometimento sistêmico de identidade.
- Verifique no Registo de Atividade do Azure quaisquer alterações ao nível da subscrição.
- Desaloque e remova quaisquer recursos criados por parte não autorizada. Veja Como manter a sua subscrição do Azure limpa | Dicas e truques do Azure (vídeo)
- Pode cancelar as subscrições do Azure dos clientes através da API (Cancelar um direito do Azure) ou através do portal do Partner Center.
- Entre em contato com o suporte do Azure imediatamente e relate o incidente
- Limpar o armazenamento após o evento: Localizar e excluir discos gerenciados e não gerenciados do Azure não anexados - Máquinas Virtuais do Azure
Evitar o comprometimento da conta é mais fácil do que recuperá-la. Por isso, é importante reforçar a sua postura de segurança.
- Revise a cota nas assinaturas do Azure dos clientes e envie a solicitação para reduzir a cota não utilizada. Para obter mais informações, consulte Reduzir cota.
- Analise e implemente as práticas recomendadas de segurança do Provedor de Soluções na Nuvem.
- Trabalhe com seus clientes para aprender e implementar as práticas recomendadas de segurança do cliente.
- Certifique-se de que o Defender for Cloud está ativado (há um nível gratuito disponível para este serviço).
- Certifique-se de que o Defender for Cloud está ativado (há um nível gratuito disponível para este serviço).
Para obter mais informações, consulte o artigo suporte.
Mais ferramentas de monitorização
- Configurar alertas a partir do portal do Azure
- Definir um orçamento de despesas do Azure para os clientes
Como preparar os seus clientes finais
A Microsoft envia notificações para assinaturas do Azure, que vão para seus clientes finais. Trabalhe com seu cliente final para garantir que ele possa agir adequadamente e seja alertado sobre vários problemas de segurança em seu ambiente:
- Configure alertas de utilização com o Azure Monitor ou a gestão de custos do Azure.
- Configure os Alertas de Estado de Funcionamento do Serviço para estar ciente de outras notificações da Microsoft sobre segurança e outros problemas relacionados.
- Trabalhe com o Administrador de Inquilinos da sua organização (se este não for gerido pelo Parceiro) para impor medidas de segurança acrescidas ao seu inquilino (consulte a secção seguinte).
Informações adicionais para proteger o seu inquilino
- Analise e implemente as práticas recomendadas de segurança operacional para seus ativos do Azure.
- Aplique a autenticação multifator para fortalecer sua postura de segurança de identidade.
- Implementar políticas de risco e alertas para usuários e entradas de Alto Risco:O que é a Proteção de ID do Microsoft Entra?.
Se suspeitar de uma utilização não autorizada da sua subscrição do Azure ou da subscrição do Azure do seu cliente, contacte o Suporte do Microsoft Azure para que a Microsoft possa ajudar a agilizar quaisquer outras questões ou preocupações.
Se você tiver dúvidas específicas sobre o Partner Center, envie uma solicitação de suporte no Partner Center. Para obter mais informações: Obtenha suporte no Partner Center.
Verificar notificações de segurança em Registos de atividades
- Inicie sessão no Partner Center e selecione o ícone de definições (engrenagem) no canto superior direito e, em seguida, selecione a área de trabalho Definições da conta.
- Navegue até Registros de atividades no painel esquerdo.
- Defina as datas De e Para no filtro superior.
- Em Filtrar por Tipo de Operação, selecione Evento de Fraude do Azure Detetado. Você deve ser capaz de ver todos os alertas de segurança Eventos detetados para o período selecionado.
Por que os parceiros estão recebendo alertas de segurança mais antigos do Azure?
A Microsoft tem enviado alertas de fraude do Azure desde dezembro de 2021. No entanto, no passado, a notificação de alerta baseava-se apenas na preferência de aceitação, em que os parceiros tinham de optar por receber uma notificação. Mudamos esse comportamento. Os parceiros devem agora resolver todos os alertas de fraude (incluindo alertas antigos) que estão abertos. Para proteger a sua postura de segurança e a dos seus clientes, siga as práticas recomendadas de segurança do Fornecedor de Soluções na Nuvem.
A Microsoft está a enviar o resumo diário de fraude (esta é a contagem de parceiros, clientes e subscrições afetadas) se existir um alerta de fraude não resolvido ativo nos últimos 60 dias. A Microsoft está a enviar o resumo diário de fraude (esta é a contagem de parceiros, clientes e subscrições afetadas) se existir um alerta de fraude não resolvido ativo nos últimos 60 dias.
Por que não estou vendo todos os alertas?
As notificações de alerta de segurança estão limitadas a detetar padrões de determinadas ações anômalas no Azure. As notificações de alerta de segurança não detetam e não é garantido que detetem todos os comportamentos anómalos. É fundamental que você use outros métodos de monitoramento para ajudar a detetar o uso anômalo nas assinaturas do Azure do seu cliente, como orçamentos mensais de gastos do Azure. Se você receber um alerta significativo e falso negativo, entre em contato com o Suporte ao parceiro e forneça as seguintes informações:
- ID do locatário do parceiro
- ID do Inquilino do Cliente
- ID de Subscrição
- ID do Recurso
- Datas de início e fim de impacto
Próximos passos
- Integre com a API de Alertas de Segurança e registre um webhook.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários