Identifiera och svara på säkerhetsaviseringar

Lämpliga roller: Administratörsagent

Gäller för: Direktfakturering i Partnercenter och indirekta leverantörer

Du kan prenumerera på en ny säkerhetsavisering för identifieringar som rör obehöriga partmissbruk och kontoövertaganden. Den här säkerhetsaviseringen är ett av många sätt som Microsoft tillhandahåller de data du behöver för att skydda kundens klientorganisationer. Du kan prenumerera på en ny säkerhetsavisering för identifieringar som rör obehöriga partmissbruk och kontoövertaganden. Den här säkerhetsaviseringen är ett av många sätt som Microsoft tillhandahåller de data du behöver för att skydda kundens klientorganisationer.

Viktigt!

Som partner i programmet Molnlösningsleverantör (CSP) ansvarar du för dina kunders Azure-förbrukning, så det är viktigt att du är medveten om all avvikande användning i kundens Azure-prenumerationer. Använd Microsoft Azure-säkerhetsaviseringar för att identifiera mönster för bedrägliga aktiviteter och missbruk i Azure-resurser för att minska din exponering för transaktionsrisker online. Microsoft Azure-säkerhetsaviseringar identifierar inte alla typer av bedrägliga aktiviteter eller missbruk, så det är viktigt att du använder ytterligare övervakningsmetoder för att identifiera avvikande användning i kundens Azure-prenumerationer. Mer information finns i Hantera utebliven betalning, bedrägeri eller missbruk och Hantera kundkonton.

Åtgärd krävs: Med övervakning och signalmedvetenhet kan du vidta omedelbara åtgärder för att avgöra om beteendet är legitimt eller bedrägligt. Om det behövs kan du pausa berörda Azure-resurser eller Azure-prenumerationer för att åtgärda ett problem.

Kontrollera att den önskade e-postadressen för dina partneradministratörsagenter är uppdaterad, så att de kan meddelas tillsammans med säkerhetskontakterna.

Prenumerera på aviseringar om säkerhetsaviseringar

Du kan prenumerera på olika partneraviseringar baserat på din roll.

Säkerhetsaviseringar meddelar dig när kundens Azure-prenumeration visar möjliga avvikande aktiviteter.

Få aviseringar via e-post

1. Logga in på Partnercenter och välj Meddelanden (klocka).
2. Välj Mina inställningar.
3. Ange en önskad e-postadress om du inte redan har gjort det.
4. Ange önskat språk för meddelandet om du inte redan har gjort det.
5. Välj Redigera bredvid Inställningar för e-postaviseringar.
6. Markera alla rutor som rör kunder i kolumnen Arbetsyta . (Om du vill avbryta prenumerationen avmarkerar du transaktionsavsnittet under kundens arbetsyta.)
7. Välj Spara.

Vi skickar säkerhetsaviseringar när vi identifierar möjliga aktiviteter för säkerhetsaviseringar eller missbruk i vissa av dina kunders Microsoft Azure-prenumerationer. Det finns tre typer av e-postmeddelanden:

• Daglig sammanfattning av olösta säkerhetsaviseringar (antal partner, kunder och prenumerationer som påverkas av olika aviseringstyper)
• Säkerhetsaviseringar i nära realtid. En lista över Azure-prenumerationer som har potentiella säkerhetsproblem finns i Hämta bedrägerihändelser.
• Säkerhetsrådgivningsmeddelanden i nära realtid. Dessa meddelanden ger insyn i de meddelanden som skickas till kunden när det finns en säkerhetsvarning.

Molnlösningsleverantör (CSP) direktfaktureringspartner kan se fler aviseringar för aktiviteter, till exempel avvikande beräkningsanvändning, kryptoutvinning, Azure Machine Learning-användning och rådgivningsmeddelanden om tjänsthälsa. Molnlösningsleverantör (CSP) direktfaktureringspartner kan se fler aviseringar för aktiviteter, till exempel avvikande beräkningsanvändning, kryptoutvinning, Azure Machine Learning-användning och rådgivningsmeddelanden om tjänsthälsa.

Hämta aviseringar via en webhook

Partner kan registrera sig för en webhook-händelse: azure-fraud-event-detected för att ta emot aviseringar om resursändringshändelser. Mer information finns i Webhook-händelser i Partnercenter.

Se och svara på aviseringar via instrumentpanelen för säkerhetsaviseringar

CSP-partner kan komma åt instrumentpanelen för Säkerhetsaviseringar i Partnercenter för att identifiera och svara på aviseringar. Mer information finns i Svara på säkerhetshändelser med instrumentpanelen Säkerhetsaviseringar i Partnercenter. CSP-partner kan komma åt instrumentpanelen för Säkerhetsaviseringar i Partnercenter för att identifiera och svara på aviseringar. Mer information finns i Svara på säkerhetshändelser med instrumentpanelen Säkerhetsaviseringar i Partnercenter.

Hämta aviseringsinformation via API

Använda det nya API:et för Microsoft Graph-säkerhetsaviseringar (Beta)

Fördelar: Från och med maj 2024 är förhandsversionen av MICROSOFT Graph Security Alerts API tillgänglig. Det här API:et ger en enhetlig API-gatewayupplevelse i andra Microsoft-tjänster som Microsoft Entra ID, Teams och Outlook.

Registreringskrav: CSP-partner som registrerar sig måste använda det nya beta-API:et för säkerhetsaviseringar. Mer information finns i Använda API:et för partnersäkerhetsaviseringar i Microsoft Graph.

Microsoft Graph Security Alerts API V1-versionen släpps i juli 2024.

Användningsfall	API:er
Registrera till Microsoft Graph API för att hämta åtkomsttoken	Få åtkomst för en användares räkning
Lista säkerhetsaviseringar för att få insyn i aviseringarna	Lista securityAlerts
Hämta säkerhetsaviseringar för att få insyn i en specifik avisering baserat på den valda frågeparamen.	Hämta partnerSecurityAlert
Hämta token för att anropa API:er för Partnercenter för referensinformation	Aktivera säker programmodell
Hämta information om din organisationsprofil	Hämta en organisationsprofil
Hämta din kundinformation efter ID	Hämta en kund efter ID
Hämta information om indirekta återförsäljare för en kund efter ID	Hämta indirekta återförsäljare av en kund
Hämta kundens prenumerationsinformation efter ID	Hämta en prenumeration efter ID
Uppdatera aviseringsstatus och åtgärda vid åtgärd	Uppdatera partnerSecurityAlert

Stöd för det befintliga FraudEvents-API:et

Viktigt!

API:et för äldre bedrägerihändelser kommer att vara inaktuellt i CY Q4 2024. Om du vill ha mer information kan du se upp för månatliga säkerhetsmeddelanden i Partnercenter. CSP-partner bör migrera till det nya Microsoft Graph Security Alerts-API:et, som nu är tillgängligt i förhandsversionen.

Under övergångsperioden kan CSP-partner fortsätta att använda FraudEvents-API:et för att få extra identifieringssignaler med X-NewEventsModel. Med den här modellen kan du få nya typer av aviseringar när de läggs till i systemet, till exempel avvikande beräkningsanvändning, kryptoutvinning, Azure Machine Learning-användning och rådgivningsmeddelanden om tjänsthälsa. Nya typer av aviseringar kan läggas till med begränsad varsel, eftersom hoten också utvecklas. Om du använder särskild hantering via API:et för olika aviseringstyper övervakar du dessa API:er för ändringar:

• Hämta bedrägerihändelser
• Uppdatera status för bedrägerihändelser

Vad du ska göra när du får ett meddelande om säkerhetsaviseringar

Följande checklista innehåller förslag på nästa steg för vad du ska göra när du får ett säkerhetsmeddelande.

• Kontrollera att e-postmeddelandet är giltigt. När vi skickar säkerhetsaviseringar skickas de från Microsoft Azure med e-postadressen: no-reply@microsoft.com. Partner får endast meddelanden från Microsoft.
• När du får ett meddelande kan du även se e-postaviseringen i Åtgärdscenter-portalen. Välj klockikonen för att se Aviseringar i Åtgärdscenter.
• Granska Azure-prenumerationerna. Avgör om aktiviteten i prenumerationen är legitim och förväntad, eller om aktiviteten kan bero på obehörigt missbruk eller bedrägeri.
• Berätta för oss vad du hittade, antingen via instrumentpanelen för säkerhetsaviseringar eller från API:et. Mer information om hur du använder API:et finns i Uppdatera status för bedrägerihändelser. Använd följande kategorier för att beskriva vad du hittade:
  • Legitim – Aktiviteten förväntas eller en falsk positiv signal.
  • Bedrägeri – Aktiviteten beror på obehörigt missbruk eller bedrägeri.
  • Ignorera – Aktiviteten är en äldre avisering och bör ignoreras. Mer information finns i Varför får partner äldre säkerhetsaviseringar?.

Vilka andra åtgärder kan du vidta för att minska risken för kompromisser?

• Aktivera multifaktorautentisering (MFA) på dina kund- och partnerklientorganisationer. Konton som har behörighet att hantera kundernas Azure-prenumerationer måste vara MFA-kompatibla. Mer information finns i Molnlösningsleverantör bästa praxis för säkerhet och bästa praxis för kundsäkerhet.
• Konfigurera aviseringar för att övervaka dina åtkomstbehörigheter för rollbaserad åtkomstkontroll i Azure (RBAC) för kundernas Azure-prenumerationer. Mer information finns i Azure-plan – Hantera prenumerationer och resurser.
  • Granska behörighetsändringar för dina kunders Azure-prenumerationer. Granska Azure Monitor-aktivitetsloggen för Azure-prenumerationsrelaterad aktivitet.
• Granska utgiftsavvikelser mot din utgiftsbudget i Azure Cost Management.
• Utbilda och arbeta med kunderna för att minska den oanvända kvoten för att förhindra skador som tillåts i Azure-prenumerationen: Översikt över kvoter – Azure-kvoter.
  • Skicka begäran om att hantera Azure-kvot: Så här skapar du en Azure-supportbegäran – Azure-support
  • Granska den aktuella kvotanvändningen: REST API-referens för Azure-kvot
  • Om du kör kritiska arbetsbelastningar som kräver hög kapacitet kan du överväga kapacitetsreservation på begäran eller azure-reserverade virtuella datorinstanser

Vad ska du göra om en Azure-prenumeration har komprometterats?

Vidta omedelbara åtgärder för att skydda ditt konto och dina data. Här följer några förslag och tips för att snabbt svara och innehålla en potentiell incident för att minska dess påverkan och övergripande affärsrisk.

Det är viktigt att åtgärda komprometterade identiteter i en molnmiljö för att säkerställa den övergripande säkerheten för molnbaserade system. Komprometterade identiteter kan ge angripare åtkomst till känsliga data och resurser, vilket gör det viktigt att vidta omedelbara åtgärder för att skydda kontot och data.

• Ändra omedelbart autentiseringsuppgifterna för:

  • Klientadministratörer och RBAC-åtkomst i Azure-prenumerationer Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?
  • Följ lösenordsvägledningen. Rekommendationer för lösenordsprinciper
  • Se till att alla klientadministratörer och RBAC-ägare har MFA registrerat och framtvingat

• Granska och verifiera alla e-postmeddelanden och telefonnummer för återställning av lösenord för globala administratörer inom Microsoft Entra-ID. Uppdatera dem om det behövs. Rekommendationer för lösenordsprinciper

• Granska vilka användare, klienter och prenumerationer som är utsatta för risk i Azure-portalen.

  • Undersök risken genom att gå till Microsoft Entra-ID för att granska Identity Protections riskrapporter. Mer information finns i Undersöka risk för Microsoft Entra ID Protection
  • Licenskrav för Identity Protection
  • Åtgärda risker och avblockera användare
  • Användarupplevelser med Microsoft Entra ID-skydd

• Granska inloggningsloggarna för Microsoft Entra på kundklientorganisationen för att se ovanliga inloggningsmönster runt den tidpunkt då säkerhetsaviseringen utlöses.

När skadliga aktörer har avlägsnats rensar du de komprometterade resurserna. Håll ett öga på den berörda prenumerationen för att se till att det inte finns någon ytterligare misstänkt aktivitet. Det är också en bra idé att regelbundet granska dina loggar och spårningsloggar för att säkerställa att ditt konto är säkert.

• Sök efter obehörig aktivitet i Azure-aktivitetsloggen, till exempel ändringar i vår fakturering, användning för icke-fakturerade kommersiella förbrukningsradobjekt eller konfigurationer.
• Granska utgiftsavvikelser mot kundens utgiftsbudget i Azure Cost Management.
• Inaktivera eller ta bort eventuella komprometterade resurser:
  • Identifiera och avlägsna hotskådespelaren: Använd Microsofts och Azures säkerhetsresurser för att återställa från systemisk identitetskompromiss.
  • Kontrollera eventuella ändringar på prenumerationsnivå i Azure-aktivitetsloggen .
  • Frigör och ta bort resurser som skapats av obehörig part. Se Hur du håller din Azure-prenumeration ren | Azure Tips och tricks (video)
  • Du kan avbryta kundernas Azure-prenumerationer via API:et (Avbryt en Azure-rättighet) eller via Partnercenter-portalen.
  • Kontakta Azure-supporten omedelbart och rapportera incidenten
  • Rensa lagring efter händelsen: Hitta och ta bort ej anslutna Hanterade Och ohanterade Azure-diskar – Virtuella Azure-datorer

Det är enklare att förhindra att kontot komprometteras än att återställa från det. Därför är det viktigt att stärka din säkerhetsstatus.

• Granska kvoten för kundernas Azure-prenumerationer och skicka begäran för att minska den oanvända kvoten. Mer information finns i Minska kvot.
• Granska och implementera bästa praxis för Molnlösningsleverantör säkerhet.
• Arbeta med dina kunder för att lära dig och implementera bästa praxis för kundsäkerhet.
• Kontrollera att Defender för molnet är aktiverat (det finns en kostnadsfri nivå tillgänglig för den här tjänsten).
• Kontrollera att Defender för molnet är aktiverat (det finns en kostnadsfri nivå tillgänglig för den här tjänsten).

Mer information finns i artikeln support.

Fler verktyg för övervakning

• Konfigurera aviseringar från Azure-portalen
• Ange en Azure-utgiftsbudget för kunder

Så här förbereder du dina slutkunder

Microsoft skickar meddelanden till Azure-prenumerationer som går till dina slutkunder. Samarbeta med slutkund för att se till att de kan agera på rätt sätt och få aviseringar om olika säkerhetsproblem i sin miljö:

• Konfigurera användningsaviseringar med Azure Monitor eller Azure Cost Management.
• Konfigurera Service Health-aviseringar för att vara medvetna om andra meddelanden från Microsoft om säkerhet och andra relaterade problem.
• Arbeta med organisationens klientorganisationsadministratör (om detta inte hanteras av partnern) för att framtvinga ökade säkerhetsåtgärder för din klientorganisation (se följande avsnitt).

Ytterligare information för att skydda din klientorganisation

• Granska och implementera metodtips för driftsäkerhet för dina Azure-tillgångar.
• Framtvinga multifaktorautentisering för att stärka din identitetssäkerhetsstatus.
• Implementera riskprinciper och aviseringar för högriskanvändare och inloggningar:Vad är Microsoft Entra ID Protection?.

Om du misstänker obehörig användning av din eller kundens Azure-prenumeration kan du kontakta Microsoft Azure-supporten så att Microsoft kan hjälpa till att påskynda andra frågor eller problem.

Om du har specifika frågor om Partnercenter skickar du en supportbegäran i Partnercenter. Mer information: Få support i Partnercenter.

Kontrollera säkerhetsmeddelanden under Aktivitetsloggar

1. Logga in på Partnercenter och välj inställningsikonen (kugghjulet) i det övre högra hörnet och välj sedan arbetsytan Kontoinställningar .
2. Gå till Aktivitetsloggar på den vänstra panelen.
3. Ange datumen Från och Till i det översta filtret.
4. I Filtrera efter åtgärdstyp väljer du Azure Fraud Event Detected (Azure Fraud Event Detected). Du bör kunna se alla säkerhetsaviseringar Händelser som har identifierats för den valda perioden.

Varför får partner äldre Azure-säkerhetsaviseringar?

Microsoft har skickat Azure-bedrägeriaviseringar sedan december 2021. Tidigare baserades dock aviseringsmeddelandet endast på opt-in-preference, där partner var tvungna att välja att ta emot meddelanden. Vi har ändrat det här beteendet. Partner bör nu lösa alla bedrägeriaviseringar (inklusive gamla aviseringar) som är öppna. Följ bästa praxis för Molnlösningsleverantör säkerhet för att skydda dina och dina kunders säkerhetsstatus.

Microsoft skickar den dagliga bedrägerisammanfattningen (det här är antalet partner, kunder och prenumerationer som påverkas) om det finns en aktiv olöst bedrägeriavisering under de senaste 60 dagarna. Microsoft skickar den dagliga bedrägerisammanfattningen (det här är antalet partner, kunder och prenumerationer som påverkas) om det finns en aktiv olöst bedrägeriavisering under de senaste 60 dagarna.

Varför visas inte alla aviseringar?

Meddelanden om säkerhetsaviseringar är begränsade till att identifiera mönster för vissa avvikande åtgärder i Azure. Säkerhetsaviseringar identifieras inte och garanteras inte identifiera alla avvikande beteenden. Det är viktigt att du använder andra övervakningsmetoder för att identifiera avvikande användning i kundens Azure-prenumerationer, till exempel månatliga Azure-utgiftsbudgetar. Om du får en avisering som är betydande och är falskt negativ kontaktar du partnersupporten och anger följande information:

• Partnerklientorganisations-ID
• Kundens klientorganisations-ID
• Prenumerations-ID:t
• Resurs-ID
• Slutdatum för start och påverkan för påverkan

Nästa steg

• Integrera med API:et för säkerhetsaviseringar och registrera en webhook.