Partilhar via

Responda a eventos de segurança com o painel Alertas de Segurança

  • Artigo

Funções apropriadas: Agente de administração

Aplica-se a: Partner Center Direct Bill e Provedores Indiretos

O painel Alertas de Segurança do Partner Center ajuda os parceiros a responder rapidamente a segurança, fraudes e outros eventos que ocorrem no Partner Center ou no locatário do cliente.

API

Para parceiros que têm vários locatários do Partner Center Microsoft Entra, você pode usar as seguintes APIs para obter e atualizar alertas em vez de usar o painel Alertas:

Pré-requisitos

Para usar o painel Alertas de Segurança do Partner Center, sua conta de usuário deve receber a função de agente administrador.

A importância de uma resposta atempada aos alertas

Quando um alerta é criado em seu painel, é fundamental que você faça a triagem e mitigue o incidente que causou o alerta o mais rápido possível. Como princípio orientador, recomendamos que responda aos alertas no prazo de uma hora. Para alertas de tipo de fraude , quanto mais tempo você demorar para responder e mitigar o incidente que causou o alerta, mais impacto financeiro poderá ser acumulado.

Para acessar o painel de Alertas de Segurança do Partner Center:

  1. Faça login no Partner Center com um usuário com a função de agente administrador.
  2. Selecione o espaço de trabalho Insights .
  3. No menu de navegação esquerdo, em Segurança, selecione Alertas.

Visualizar alertas

A página Alertas mostra o seguinte:

  • Novos alertas esta semana - Número de novos alertas nos últimos sete dias.
  • Resolvido - Número de alertas que são resolvidos com um motivo especificado (Por exemplo, Legítimo ou Fraude).
  • Ativo & Em andamento - Número de alertas não resolvidos que precisam de atenção.

Captura de ecrã a mostrar o ecrã Alertas do Partner Center, incluindo o tempo médio de resposta, novos alertas esta semana, resolvidos e Ativos e Em Curso.

A seção inferior da página de alerta lista os alertas que afetam o locatário do Partner Center no qual você está conectado.

Captura de ecrã a mostrar a página Alertas e as ações que pode realizar, incluindo Cancelar subscrição e Exportar.

  • Nome do alerta - Este nome mostra informações de alto nível sobre o que foi detetado.
  • ID da Subscrição - Este identificador é apresentado quando é detetado um alerta numa subscrição específica do Azure.
  • ID do alerta - O identificador exclusivo do alerta.
  • Status do alerta - O status do alerta (Ativo ou Resolvido).
  • Primeiro observado - A primeira vez que o alerta foi exibido.
  • Última observação - A última vez que o alerta foi exibido.
  • Tipo de alerta - O tipo de atividade que foi detetada e causou o alerta. Existem dois tipos de alerta:
    • Notificações do Azure - Este alerta indica que uma mensagem foi enviada ao cliente da subscrição do Azure afetada e apresentada como uma notificação de Estado de Funcionamento do Serviço. Uma cópia desta mensagem é mostrada nos detalhes do alerta.
    • Utilização do Azure - Este alerta indica um aumento invulgar de atividade na subscrição do Azure ou uma atividade anómala que ocorre na subscrição, por exemplo, a mineração de criptomoedas.
  • Severidade - Indica o nível de urgência que deve ser tomado ao responder ao alerta.

A opção Filtro permite alterar os alertas exibidos na página Alerta.

A pesquisa permite-lhe procurar em todos os alertas as informações que introduz no campo de pesquisa e abre a página Alerta . Os seguintes campos são pesquisados:

  • ID da Subscrição
  • ID do alerta
  • Nome do cliente

Ações na página Detalhes do alerta

Exemplo da página Detalhes do alerta:

Para ver mais detalhes sobre um alerta, selecione o nome do alerta. Por exemplo, o alerta de exemplo a seguir mostra o comportamento relacionado à mineração de criptomoedas que ocorre em uma assinatura do Azure.

Captura de tela mostrando detalhes de alerta relacionados à mineração de criptomoedas.

Na parte superior da página Detalhes do alerta, as informações do cliente e do revendedor (se aplicável) são exibidas.

A descrição do alerta fornece uma visão geral do motivo pelo qual o alerta ocorreu, juntamente com as etapas a serem investigadas.

A seção Recursos afetados mostra as seguintes informações:

  • Informações do recurso - Detalhe sobre os recursos envolvidos na deteção que causou o alerta. Neste exemplo, há uma máquina virtual chamada "badvmtest" no grupo de recursos "testserver". A primeira hora de conexão e a hora da última conexão indicam quando detetamos esse recurso entrando em contato pela primeira vez com um pool de mineração conhecido e a hora mais recente em que ele foi observado.

  • Informações adicionais - Se houver detalhes disponíveis sobre o comportamento exibido pelo recurso, eles serão mostrados aqui. Neste exemplo, a máquina virtual "badvmtest" se comunicava com o endereço IP de um pool de mineração conhecido. A seção Informações do recurso mostra que ele se conectou ao endereço IP quatro vezes entre a hora da primeira conexão e a hora da última conexão.

  • Barra de ação - Ao concluir a investigação do alerta, selecione uma ação para informar ao Partner Center o que descobriu. A seleção de uma ação marca o alerta Resolvido. A ação selecionada indica o motivo pelo qual você está resolvendo o alerta. As opções fornecidas são:

    • Marcar como legítimo - Você investigou os recursos e não encontrou nenhuma evidência do que o alerta indicou ou, ao verificar com o cliente, eles indicam que o comportamento é esperado.
    • Marcar como fraude - Você investigou os recursos e descobriu que eles estavam executando o comportamento indicado pelo alerta.

  • Recursos - Use os links nesta seção do alerta para saber mais sobre alertas e o que fazer quando receber um alerta.

    Captura de ecrã a mostrar um exemplo de alerta, onde as opções incluem Marcar como legítimo ou Marcar como fraude.

  • Recursos - Saiba mais sobre alertas e o que fazer quando receber um alerta.

Selecione um alerta para abrir a página Detalhes do alerta.

Ações na página Detalhes do alerta

Exemplo da página Detalhes do alerta:

Captura de ecrã a mostrar a parte inferior de um alerta de segurança, com opções para Cancelar subscrição, gerir subscrição ou Voltar a Alertas.

A página Detalhes do alerta de exemplo mostra três ações que você pode executar.

  • Cancelar assinatura - Você deve ter as funções de Administrador Global e Agente de Administração para usar esta ação. Se sua investigação sobre o alerta indicar que a assinatura do Azure foi ultrapassada por uma parte não autorizada, você poderá selecionar Cancelar assinatura para desalocar todos os recursos na assinatura do Azure e marcar todos os dados na assinatura para exclusão após o período de retenção. Antes de tomar esta ação, recomendamos que comunique com o seu cliente sobre o alerta e, se possível, obtenha o seu consentimento para cancelar a subscrição. Ao selecionar esse botão, você verá a seguinte página de confirmação para garantir que você entenda o impacto dessa ação. Selecione Continuar com cancelamento para cancelar a assinatura do Azure. Quando você seleciona Continuar com cancelamento, a assinatura é cancelada e todos os alertas para essa assinatura são marcados como Resolvidos com o motivo Fraude.

    Captura de ecrã a mostrar a caixa de diálogo Cancelar subscrição, com as opções: Voltar e Continuar com o cancelamento.

    Para obter mais informações, consulte Cancelar uma assinatura do Azure.

  • Gerenciar assinatura - A ação Gerenciar assinatura leva você ao Portal de Gerenciamento do Azure usando Admin em Nome de. Com base no nível de acesso concedido a você pelo cliente, você poderá investigar melhor os recursos indicados no Detalhe do alerta. Para obter mais informações, consulte Gerenciar assinaturas e recursos no plano do Azure.

  • Voltar aos alertas - Retorna à página principal do Painel de Alertas com a lista de alertas.

Ações na página Alerta

Acima da lista de alertas na página Alerta estão duas ações que você pode tomar.

Captura de ecrã a mostrar a página Alertas e as ações que pode realizar, incluindo Cancelar subscrição e Exportar.

  • Cancelar assinatura - Você deve ter as funções de Administrador Global e Agente de Administração para usar esta ação. Se sua investigação sobre o alerta indicar que a assinatura do Azure foi ultrapassada por uma parte não autorizada, você poderá selecionar Cancelar assinatura para desalocar todos os recursos na assinatura do Azure e marcar todos os dados na assinatura para exclusão após o período de retenção. Antes de tomar esta ação, recomendamos que comunique com o seu cliente sobre o alerta e, se possível, obtenha o seu consentimento para cancelar a subscrição. Depois de selecionar esse botão, você verá a seguinte página de confirmação para ajudar a garantir que você entenda o impacto dessa ação. Selecione Continuar com cancelamento para cancelar a assinatura do Azure.

    Captura de ecrã a mostrar a página Cancelar subscrição, com opções para Voltar ou Continuar com Cancelamento.

  • Exportar - Se desejar exportar todas as informações detalhadas sobre os alertas, você pode usar a ação Exportar para baixar um arquivo CSV (valor separado por vírgula) contendo as informações do alerta. Nota: A exportação produz um arquivo CSV com apenas os alertas que estão sendo visualizados no momento. Ajuste a opção Filtro para exibir o alerta que deseja exportar.

Próximos passos

Deteção e notificação de fraude do Azure