Обнаружение оповещений системы безопасности и реагирование на них
Соответствующие роли: агент по администрированию
Область применения: Прямой счет в Центре партнеров и косвенные поставщики
Вы можете подписаться на новое оповещение системы безопасности для обнаружения, связанных с несанкционированным злоупотреблением стороной и захватом учетных записей. Это оповещение системы безопасности является одним из многих способов, которым корпорация Майкрософт предоставляет данные, необходимые для защиты клиентов.
Внимание
В качестве партнера в программе поставщик облачных решений (CSP) вы несете ответственность за использование Azure клиентов, поэтому важно знать о любом аномальном использовании в подписках Azure клиента. Используйте оповещения системы безопасности Microsoft Azure для обнаружения шаблонов мошеннических действий и неправильного использования в ресурсах Azure, чтобы снизить риск онлайн-транзакций. Оповещения системы безопасности Microsoft Azure не обнаруживают все типы мошеннических действий или неправильного использования, поэтому важно использовать дополнительные методы мониторинга для обнаружения аномального использования в подписках Azure клиента. Дополнительные сведения см. в статье "Управление неплатежей, мошенничеством или неправильным использованием учетных записей клиентов" и "Управление учетными записями клиентов".
Необходимые действия. При мониторинге и осведомленности о сигнале можно принять немедленные меры, чтобы определить, является ли поведение законным или мошенническим. При необходимости можно приостановить затронутые ресурсы Azure или подписки Azure, чтобы устранить проблему.
Убедитесь, что предпочтительный адрес электронной почты для агентов партнера Администратор обновлен, чтобы они могли получать уведомления вместе с контактами безопасности.
Подписка на уведомления оповещений системы безопасности
Вы можете подписаться на различные уведомления партнеров на основе вашей роли.
Оповещения системы безопасности уведомляют вас, когда подписка Azure клиента отображает возможные аномальные действия.
Получение оповещений по электронной почте
- Войдите в Центр партнеров и выберите уведомления (колокольчик).
- Выберите "Мои предпочтения".
- Задайте предпочтительный адрес электронной почты, если вы еще этого не сделали.
- Установите предпочтительный язык для уведомления, если вы еще этого не сделали.
- Выберите "Изменить " рядом с настройками уведомления электронной почты.
- Установите все флажки, относящиеся к клиентам в столбце "Рабочая область ". (Чтобы отменить подписку, отмените выбор раздела транзакций в рабочей области клиента.)
- Выберите Сохранить.
Мы отправляем оповещения системы безопасности, когда мы обнаруживаем возможные действия оповещений системы безопасности или неправильное использование в некоторых подписках Microsoft Azure клиентов. Существует три типа сообщений электронной почты:
- Ежедневная сводка неразрешенных оповещений системы безопасности (количество партнеров, клиентов и подписок, затронутых различными типами оповещений)
- Оповещения системы безопасности практически в режиме реального времени. Чтобы получить список подписок Azure с потенциальными проблемами безопасности, см. статью "Получение событий мошенничества".
- Уведомления о безопасности практически в режиме реального времени. Эти уведомления обеспечивают видимость уведомлений, отправленных клиенту при наличии оповещения системы безопасности.
Партнеры по прямым счетам CSP могут видеть больше оповещений о действиях, например аномальное использование вычислений, шифрование интеллектуального анализа данных, Машинное обучение Azure уведомления об использовании и работоспособности служб.
Получение оповещений через веб-перехватчик
Партнеры могут регистрироваться в событии веб-перехватчика: azure-fraud-event-detected получать оповещения о событиях изменения ресурсов. Дополнительные сведения см. в разделе "События веб-перехватчика Центра партнеров".
Просмотр оповещений и реагирование на них с помощью панели мониторинга оповещений системы безопасности
Партнеры CSP могут получить доступ к панели мониторинга оповещений центра партнеров для обнаружения и реагирования на оповещения. Дополнительные сведения см. в статье "Реагирование на события безопасности" с помощью панели мониторинга оповещений центра партнеров.
Получение сведений об оповещении с помощью API
Знакомство с новым API оповещений системы безопасности Microsoft Graph (бета-версия) с 28 марта 2024 г.
Преимущества. Новый API оповещений системы безопасности Microsoft Graph (бета-версия) предоставляет единый интерфейс шлюза API в других службы Майкрософт, таких как идентификатор Microsoft Entra, Teams и Outlook.
Требования к подключению: для нового API оповещений системы безопасности Microsoft Graph (бета-версия): партнерам CSP необходимо подключиться к новому API бета-версии Microsoft Graph, который будет доступен с мая 2024 года. Дополнительные сведения см. в разделе "Использование API оповещений о безопасности партнера" в Microsoft Graph. Версия API Graph для оповещений системы безопасности Майкрософт версии 1 будет выпущена в июле 2024 года.
| Вариант использования | Программные интерфейсы |
|---|---|
| Подключение к API Microsoft Graph для получения маркера доступа | Получение доступа от имени пользователя |
| Вывод списка оповещений системы безопасности для получения видимости оповещений | Перечисление securityAlerts — бета-версия Microsoft Graph | Microsoft Learn |
| Получите оповещения системы безопасности, чтобы получить представление о конкретном оповещении на основе выбранного параметра запроса. | Get partnerSecurityAlert — бета-версия Microsoft Graph | Microsoft Learn |
| Получение маркера для вызова API Центра партнеров для получения справочных сведений | Включение модели безопасных приложений — разработчик приложений партнеров | Microsoft Learn |
| Получение сведений о профиле организации | Получение профиля организации — разработчик приложений партнеров | Microsoft Learn |
| Получение сведений о косвенных посредниках клиента по идентификатору | Получение косвенных торговых посредников клиента — разработчик приложений партнеров | Microsoft Learn |
| Получение сведений о подписке клиента по идентификатору | Получение подписки по идентификатору — разработчик приложений партнера | Microsoft Learn |
| Обновление состояния оповещений и разрешение при устранении рисков | Обновление partnerSecurityAlert — бета-версия Microsoft Graph | Microsoft Learn |
Поддержка существующего API FraudEvents
Внимание
Устаревший API событий мошенничества будет устарел в CY Q4 2024. Дополнительные сведения см. в ежемесячных объявлениях по безопасности Центра партнеров. Партнеры CSP должны начать планировать миграцию в новый API оповещений системы безопасности MS Graph, который будет доступен с 28 марта 2024 года.
В течение переходного периода партнеры CSP могут продолжать использовать API FraudEvents для получения дополнительных сигналов обнаружения с помощью X-NewEventsModel. С помощью этой модели можно получить новые типы оповещений по мере их добавления в систему, например аномального использования вычислений, интеллектуального анализа криптографии, Машинное обучение Azure уведомлений об использовании и работоспособности служб. Новые типы оповещений можно добавить с ограниченным уведомлением, так как угрозы также развиваются. Если вы используете специальную обработку с помощью API для различных типов оповещений, отслеживайте эти API для изменений:
Что делать при получении уведомления об оповещении системы безопасности
В следующем списке проверка приведены приведенные ниже действия по выполнению действий при получении уведомления системы безопасности.
- Убедитесь, что уведомление электронной почты является допустимым. При отправке оповещений системы безопасности они отправляются из Microsoft Azure с адресом электронной почты:
no-reply@microsoft.comПартнеры получают уведомления только от Корпорации Майкрософт. - Когда вы получите уведомление, вы также увидите оповещение электронной почты на портале Центра уведомлений. Щелкните значок колокола, чтобы просмотреть оповещения Центра уведомлений.
- Просмотрите подписки Azure. Определите, является ли действие в подписке законным и ожидаемым или может ли действие быть вызвано несанкционированным злоупотреблением или мошенничеством.
- Сообщите нам, что вы нашли, с помощью панели мониторинга оповещений системы безопасности или из API. Дополнительные сведения об использовании API см. в разделе "Обновление состояния события мошенничества". Используйте следующие категории, чтобы описать найденные сведения:
- Допустимый — действие ожидается или ложноположительный сигнал.
- Мошенничество — это действие связано с несанкционированным злоупотреблением или мошенничеством.
- Игнорировать . Действие является старым оповещением и должно быть проигнорировано. Дополнительные сведения см. в статье "Почему партнеры получают старые оповещения системы безопасности?".
Какие дополнительные шаги можно предпринять, чтобы снизить риск компрометации?
- Включите многофакторную проверку подлинности (MFA) для клиентов и партнеров. Учетные записи, имеющие разрешения на управление подписками Azure клиентов, должны соответствовать MFA. Дополнительные сведения см. в статье поставщик облачных решений рекомендации по обеспечению безопасности и рекомендации по обеспечению безопасности клиентов.
- Настройте оповещения для мониторинга разрешений доступа на основе ролей Azure (RBAC) для подписок Azure клиентов. Дополнительные сведения см . в разделе "План Azure— управление подписками и ресурсами".
- Изменения разрешений аудита для подписок Azure клиентов. Просмотрите журнал действий Azure Monitor для действий, связанных с подпиской Azure.
- Просмотрите аномалии расходов в отношении бюджета расходов в управлении затратами Azure.
- Обучить и работать с клиентами, чтобы уменьшить неиспользуемую квоту, чтобы предотвратить ущерб, разрешенный в подписке Azure: общие сведения о квотах Azure.
- Отправка запроса на управление квотой Azure. Создание запроса поддержка Azure — поддержка Azure возможности
- Просмотр текущего использования квоты: справочник по REST API квоты Azure
- Если вы выполняете критически важные рабочие нагрузки, требующие высокой емкости, рассмотрите возможность резервирования емкости по запросу или зарезервированных экземпляров виртуальных машин Azure.
Что делать, если подписка Azure скомпрометирована?
Выполните немедленные действия для защиты учетной записи и данных. Ниже приведены некоторые предложения и советы по быстрому реагированию и содержат потенциальный инцидент, чтобы снизить его влияние и общий бизнес-риск.
Устранение скомпрометированных удостоверений в облачной среде имеет решающее значение для обеспечения общей безопасности облачных систем. Скомпрометированные удостоверения могут предоставить злоумышленникам доступ к конфиденциальным данным и ресурсам, что делает его важным для немедленной защиты учетной записи и данных.
Немедленно измените учетные данные для:
- Администраторы клиентов и доступ RBAC в подписках Azure, что такое управление доступом на основе ролей Azure (Azure RBAC)?
- Следуйте инструкциям по паролю. Рекомендации по политике паролей
- Убедитесь, что все администраторы клиента и владельцы RBAC зарегистрированы и применены MFA
Проверьте и проверьте все сообщения электронной почты для восстановления паролей пользователя глобального администратора и номера телефонов в идентификаторе Microsoft Entra. При необходимости обновите их. Рекомендации по политике паролей
Проверьте, какие пользователи, клиенты и подписки подвергаются риску в портал Azure.
- Изучите риск, перейдя в идентификатор Microsoft Entra, чтобы просмотреть отчеты о рисках защиты идентификации. Дополнительные сведения см. в статье "Исследование рисков Защита идентификации Microsoft Entra
- Требования к лицензии для защиты идентификации
- Устранение рисков и разблокирование пользователей
- Взаимодействие пользователей с защитой в Microsoft Entra ID
Просмотрите журналы входа Microsoft Entra в клиенте клиента, чтобы увидеть необычные шаблоны входа во время активации оповещения системы безопасности.
После вытеснения вредоносных субъектов очистите скомпрометированные ресурсы. Следите за затронутой подпиской, чтобы убедиться, что дальнейшие подозрительные действия отсутствуют. Кроме того, рекомендуется регулярно просматривать журналы и следы аудита, чтобы убедиться, что ваша учетная запись безопасна.
- Проверьте наличие каких-либо несанкционированных действий в журнале действий Azure, например изменения в выставлении счетов, использовании для необязаемых элементов линии коммерческого потребления или конфигураций.
- Просмотрите аномалии расходов в отношении бюджета расходов клиента в управлении затратами Azure.
- Отключите или удалите все скомпрометированные ресурсы:
- Определите и вытесните субъект угроз: используйте ресурсы безопасности Microsoft и Azure, чтобы помочь восстановиться от системного компрометации удостоверений.
- Проверьте журнал действий Azure на любом уровне подписки.
- Разблокировать и удалить все ресурсы, созданные несанкционированной стороной. Узнайте, как очистить подписку Azure | Azure Советы и рекомендации (видео)
- Вы можете отменить подписки Azure клиентов через API (отменить право Azure) или на портале Центра партнеров.
- Обратитесь к поддержка Azure немедленно и сообщите об инциденте
- Очистка хранилища после события. Поиск и удаление неподключенных дисков Azure с управляемыми и неуправляемыми дисками — Azure Виртуальные машины
Предотвращение компрометации учетной записи проще, чем восстановление. Поэтому важно укрепить вашу позицию безопасности.
- Просмотрите квоту для подписок Azure клиентов и отправьте запрос, чтобы уменьшить неиспользуемую квоту. Дополнительные сведения см. в разделе "Сокращение квоты".
- Просмотрите и реализуйте рекомендации по обеспечению безопасности поставщик облачных решений.
- Обратитесь к клиентам, чтобы узнать и реализовать рекомендации по обеспечению безопасности клиентов.
- Убедитесь, что Defender для облакавключен (для этой службы доступен бесплатный уровень).
Дополнительные сведения см. в статье о поддержке.
Дополнительные средства для мониторинга
Подготовка конечных клиентов
Корпорация Майкрософт отправляет уведомления в подписки Azure, которые отправляются конечным клиентам. Обратитесь к конечному клиенту, чтобы убедиться, что они могут правильно действовать и предупреждают о различных проблемах безопасности в своей среде:
- Настройте оповещения об использовании с помощью Azure Monitor или управления затратами Azure.
- Настройте оповещения о работоспособности служб, чтобы узнать о других уведомлениях от Майкрософт о безопасности и других связанных проблемах.
- Обратитесь к Администратор клиента вашей организации (если это не управляется партнером), чтобы применить повышенные меры безопасности в клиенте (см. следующий раздел).
Дополнительные сведения о защите клиента
Изучите и реализуйте рекомендации по обеспечению безопасности для ресурсов Azure.
Принудительное применение многофакторной проверки подлинности для укрепления состояния безопасности удостоверений .
Реализуйте политики рисков и оповещение для пользователей с высоким уровнем риска и войдите в систему:Что такое Защита идентификации Microsoft Entra?.
Если вы подозреваете несанкционированное использование вашей подписки или подписки Azure клиента, обратитесь в службу поддержки Microsoft Azure, чтобы корпорация Майкрософт помогла ускорить любые другие вопросы или проблемы.
Если у вас есть конкретные вопросы, касающиеся Центра партнеров, отправьте запрос на поддержку в Центре партнеров. Дополнительные сведения: получение поддержки в Центре партнеров.
Вызов API Graph для оповещений системы безопасности
Сведения о подключении к API Microsoft Graph для получения маркера доступа см. в статье "Получение доступа от имени пользователя"
Проверка уведомлений системы безопасности в журналах действий
- Войдите в Центр партнеров и выберите значок параметров (шестеренки) в правом верхнем углу, а затем выберите рабочую область параметров учетной записи.
- Перейдите к журналам действий на левой панели.
- Задайте даты от и до даты в верхнем фильтре.
- В разделе "Фильтр по типу операции" выберите обнаруженное событие мошенничества Azure. Вы должны увидеть все события оповещений системы безопасности, обнаруженные в течение выбранного периода.
Почему партнеры получают старые оповещения системы безопасности Azure?
Корпорация Майкрософт отправляет оповещения о мошенничестве Azure с декабря 2021 года. Однако в прошлом уведомление об оповещении основано только на предпочтениях, где партнеры должны были принять уведомление. Мы изменили это поведение. Теперь партнеры должны разрешать все оповещения о мошенничестве (включая старые оповещения), открытые. Следуйте рекомендациям по обеспечению безопасности поставщик облачных решений, чтобы обеспечить безопасность и безопасность клиентов.
Корпорация Майкрософт отправляет сводку о ежедневном мошенничестве (это число партнеров, клиентов и подписок), если в течение последних 60 дней существует активное неразрешимое предупреждение о мошенничестве.
Почему я не вижу всех оповещений?
Уведомления об оповещениях системы безопасности ограничены обнаружением шаблонов определенных аномальных действий в Azure. Уведомления оповещений системы безопасности не обнаруживаются и не гарантируются для обнаружения всех аномальных действий. Важно использовать другие методы мониторинга для обнаружения аномального использования в подписках Azure клиента, таких как ежемесячные бюджеты расходов Azure. Если вы получаете оповещение, которое является значительным и является ложным отрицательным, обратитесь в службу поддержки партнеров и предоставьте следующие сведения:
- Идентификатор клиента партнера
- Идентификатор клиента заказчика
- ИД подписки
- ИД ресурса
- Даты окончания начала и влияния влияния
Следующие шаги
- Интеграция с API оповещений системы безопасности и регистрация веб-перехватчика.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по