Erkennen von und Reagieren auf Sicherheitswarnungen

Geeignete Rollen: Administrator-Agent

Gilt für: Partner Center Direct Bill und indirekte Anbieter

Sie können eine neue Sicherheitswarnung für Erkennungen im Zusammenhang mit unbefugtem Missbrauch und Kontoübernahmen abonnieren. Diese Sicherheitswarnung ist eine der vielen Möglichkeiten, wie Microsoft die Daten bereitstellt, die Sie zum Sichern der Mandanten Ihres Kunden benötigen. Sie können eine neue Sicherheitswarnung für Erkennungen im Zusammenhang mit unbefugtem Missbrauch und Kontoübernahmen abonnieren. Diese Sicherheitswarnung ist eine der vielen Möglichkeiten, wie Microsoft die Daten bereitstellt, die Sie zum Sichern der Mandanten Ihres Kunden benötigen.

Wichtig

Als Partner im Cloud Solution Provider (CSP)-Programm sind Sie für den Azure-Verbrauch Ihrer Kunden verantwortlich, daher ist es wichtig, dass Sie sich über eine ungewöhnliche Nutzung in den Azure-Abonnements Ihres Kunden bewusst sind. Verwenden Sie Microsoft Azure-Sicherheitswarnungen, um Muster betrügerischer Aktivitäten und Missbrauch in Azure-Ressourcen zu erkennen, um Ihre Gefährdung durch Onlinetransaktionsrisiken zu verringern. Microsoft Azure-Sicherheitswarnungen erkennen nicht alle Arten von betrügerischen Aktivitäten oder Missbrauch, daher ist es wichtig, dass Sie zusätzliche Überwachungsmethoden verwenden, um die anomaliele Nutzung in den Azure-Abonnements Ihres Kunden zu erkennen. Weitere Informationen finden Sie unter Verwalten von Nichtzahlung, Betrug oder Missbrauch und Verwalten von Kundenkonten.

Aktion erforderlich: Mit Überwachung und Signalbewusstsein können Sie sofortige Maßnahmen ergreifen, um festzustellen, ob das Verhalten legitim oder betrügerisch ist. Bei Bedarf können Sie betroffene Azure-Ressourcen oder Azure-Abonnements aussetzen, um ein Problem zu beheben.

Stellen Sie sicher, dass die bevorzugte E-Mail-Adresse für Ihre Partneradministrator-Agents auf dem neuesten Stand ist, damit sie zusammen mit den Sicherheitskontakten benachrichtigt werden können.

Abonnieren von Sicherheitsbenachrichtigungen

Sie können verschiedene Partnerbenachrichtigungen basierend auf Ihrer Rolle abonnieren.

Sicherheitswarnungen benachrichtigen Sie, wenn das Azure-Abonnement Ihres Kunden mögliche anomalien Aktivitäten anzeigt.

Erhalten von Benachrichtigungen per E-Mail

  1. Melden Sie sich beim Partner Center an, und wählen Sie Benachrichtigungen (Bell) aus.
  2. Wählen Sie Meine Einstellungen aus.
  3. Legen Sie eine bevorzugte E-Mail-Adresse fest, wenn Sie dies noch nicht getan haben.
  4. Legen Sie die bevorzugte Sprache für die Benachrichtigung fest, wenn Sie dies noch nicht getan haben.
  5. Wählen Sie "Bearbeiten " neben den E-Mail-Benachrichtigungseinstellungen aus.
  6. Aktivieren Sie alle Kontrollkästchen für Kunden in der Spalte "Arbeitsbereich ". (Um das Abonnement abbestellen zu können, heben Sie die Auswahl des Abschnitts "Transaktion" unter "Kundenarbeitsbereich" auf.)
  7. Wählen Sie Speichern.

Wir senden Sicherheitswarnungen, wenn wir mögliche Sicherheitswarnungsaktivitäten oder Missbrauch in einigen Microsoft Azure-Abonnements Ihrer Kunden erkennen. Es gibt drei Arten von E-Mails:

  • Tägliche Zusammenfassung von nicht aufgelösten Sicherheitswarnungen (Anzahl von Partnern, Kunden und Abonnements, die von verschiedenen Warnungstypen betroffen sind)
  • Sicherheitswarnungen in Echtzeit. Eine Liste der Azure-Abonnements mit potenziellen Sicherheitsbedenken finden Sie unter "Betrugsereignisse abrufen".
  • Fast Echtzeit-Sicherheitsempfehlungsbenachrichtigungen. Diese Benachrichtigungen bieten Einblicke in die Benachrichtigungen, die an den Kunden gesendet werden, wenn eine Sicherheitswarnung vorhanden ist.

Direkte Abrechnungspartner von Cloudlösungsanbietern (Cloud Solution Provider, CSP) können weitere Warnungen für Aktivitäten anzeigen, z. B. anomale Berechnungsnutzung, Krypto-Mining, Azure Machine Learning-Nutzung und Dienstintegritätsempfehlungsbenachrichtigungen. Direkte Abrechnungspartner von Cloudlösungsanbietern (Cloud Solution Provider, CSP) können weitere Warnungen für Aktivitäten anzeigen, z. B. anomale Berechnungsnutzung, Krypto-Mining, Azure Machine Learning-Nutzung und Dienstintegritätsempfehlungsbenachrichtigungen.

Abrufen von Warnungen über einen Webhook

Partner können sich bei einem Webhook-Ereignis registrieren: azure-fraud-event-detected um Warnungen für Ressourcenänderungsereignisse zu erhalten. Weitere Informationen finden Sie unter Partner Center-Webhook-Ereignisse.

Anzeigen und Beantworten von Warnungen über das Dashboard "Sicherheitswarnungen"

CSP-Partner können auf das Partner Center Security Alerts-Dashboard zugreifen, um Warnungen zu erkennen und darauf zu reagieren. Weitere Informationen finden Sie unter Reagieren auf Sicherheitsereignisse mit dem Partner Center Security Alerts-Dashboard. CSP-Partner können auf das Partner Center Security Alerts-Dashboard zugreifen, um Warnungen zu erkennen und darauf zu reagieren. Weitere Informationen finden Sie unter Reagieren auf Sicherheitsereignisse mit dem Partner Center Security Alerts-Dashboard.

Abrufen von Warnungsdetails über API

Verwenden der neuen Microsoft Graph-Sicherheitswarnungs-API (Beta)

Vorteile: Ab Mai 2024 ist die Vorschauversion der Microsoft Graph-Sicherheitswarnungs-API verfügbar. Diese API bietet eine einheitliche API-Gatewayumgebung in anderen Microsoft-Dienste wie Microsoft Entra ID, Teams und Outlook.

Onboardinganforderungen: CSP-Partner, die onboarding sind, müssen die neue Beta-API für Sicherheitswarnungen verwenden. Weitere Informationen finden Sie unter Verwenden der Partnersicherheitswarnungs-API in Microsoft Graph.

Die Version der Microsoft Graph Security Alerts API V1 wird im Juli 2024 veröffentlicht.

Anwendungsfall APIs
Onboarding in die Microsoft Graph-API zum Abrufen von Zugriffstoken Zugreifen im Namen eines Benutzers
Auflisten von Sicherheitswarnungen, um Einblicke in die Warnungen zu erhalten SecurityAlerts auflisten
Rufen Sie Sicherheitswarnungen ab, um einen Einblick in eine bestimmte Warnung basierend auf dem ausgewählten Abfrageparameter zu erhalten. partnerSecurityAlert abrufen
Abrufen eines Tokens zum Aufrufen der Partner Center-APIs für Referenzinformationen Aktivieren eines sicheren Anwendungsmodells
Abrufen von Organisationsprofilinformationen Abrufen eines Organisationsprofils
Abrufen Ihrer Kundeninformationen nach ID Abrufen eines Kunden nach ID
Abrufen Der Informationen zu indirekten Wiederverkäufern eines Kunden anhand der ID Abrufen der indirekten Vertriebspartner eines Kunden
Abrufen der Abonnementinformationen des Kunden nach ID Abrufen eines Abonnements nach ID
Aktualisieren des Warnungsstatus und Beheben bei Entschärfung PartnerSecurityAlert aktualisieren

Unterstützung für die vorhandene FraudEvents-API

Wichtig

Die API für Ältere Betrugsereignisse wird in CY Q4 2024 veraltet sein. Weitere Details finden Sie in den monatlichen Partner Center Security-Ankündigungen. CSP-Partner sollten zur neuen Microsoft Graph-Sicherheitswarnungs-API migrieren, die jetzt in der Vorschau verfügbar ist.

Während des Übergangszeitraums können CSP-Partner die FraudEvents-API weiterhin verwenden, um zusätzliche Erkennungssignale mithilfe von X-NewEventsModel abzurufen. Mit diesem Modell können Sie neue Arten von Warnungen erhalten, wenn sie dem System hinzugefügt werden, z. B. aomale Computenutzung, Krypto-Mining, Azure Machine Learning-Nutzung und Dienststatus-Empfehlungsbenachrichtigungen. Neue Arten von Warnungen können mit eingeschränkter Benachrichtigung hinzugefügt werden, da Sich Bedrohungen ebenfalls entwickeln. Wenn Sie eine spezielle Behandlung über die API für verschiedene Warnungstypen verwenden, überwachen Sie diese APIs auf Änderungen:

Was zu tun ist, wenn Sie eine Sicherheitsbenachrichtigung erhalten

Die folgende Checkliste enthält vorschläge für die nächsten Schritte, die Sie tun müssen, wenn Sie eine Sicherheitsbenachrichtigung erhalten.

  • Überprüfen Sie, ob die E-Mail-Benachrichtigung gültig ist. Wenn wir Sicherheitswarnungen senden, werden sie von Microsoft Azure mit der E-Mail-Adresse gesendet: no-reply@microsoft.com. Partner erhalten nur Benachrichtigungen von Microsoft.
  • Wenn Sie benachrichtigt werden, können Sie auch die E-Mail-Benachrichtigung im Info-Center-Portal sehen. Wählen Sie das Glockensymbol aus, um die Info-Center-Benachrichtigungen anzuzeigen.
  • Überprüfen Sie die Azure-Abonnements. Ermitteln Sie, ob die Aktivität im Abonnement legitim und erwartet ist oder ob die Aktivität auf unbefugten Missbrauch oder Betrug zurückzuführen sein könnte.
  • Lassen Sie uns wissen, was Sie gefunden haben, entweder über das Dashboard für Sicherheitswarnungen oder über die API. Weitere Informationen zur Verwendung der API finden Sie unter Aktualisieren des Status des Betrugsereignisses. Verwenden Sie die folgenden Kategorien, um zu beschreiben, was Sie gefunden haben:
    • Legitim - Die Aktivität wird erwartet oder ein falsch positives Signal.
    • Betrug - Die Aktivität ist auf unbefugten Missbrauch oder Betrug zurückzuführen.
    • Ignorieren – Die Aktivität ist eine ältere Warnung und sollte ignoriert werden. Weitere Informationen finden Sie unter Warum erhalten Partner ältere Sicherheitswarnungen?.

Welche anderen Schritte können Sie ergreifen, um das Risiko einer Kompromittierung zu verringern?

Was sollten Sie tun, wenn ein Azure-Abonnement kompromittiert wurde?

Ergreifen Sie sofortige Maßnahmen, um Ihr Konto und Ihre Daten zu schützen. Hier finden Sie einige Vorschläge und Tipps, um schnell zu reagieren und einen potenziellen Vorfall zu enthalten, um die Auswirkungen und das allgemeine Geschäftsrisiko zu reduzieren.

Die Behebung kompromittierter Identitäten in einer Cloudumgebung ist entscheidend, um die Gesamtsicherheit von cloudbasierten Systemen sicherzustellen. Kompromittierte Identitäten können Angreifern Zugriff auf vertrauliche Daten und Ressourcen bieten, wodurch es wichtig ist, sofortige Maßnahmen zum Schutz des Kontos und der Daten zu ergreifen.

Nachdem böswillige Akteure entfernt wurden, bereinigen Sie die kompromittierten Ressourcen. Behalten Sie das betroffene Abonnement im Auge, um sicherzustellen, dass keine weiteren verdächtigen Aktivitäten vorhanden sind. Außerdem empfiehlt es sich, ihre Protokolle und Überwachungspfade regelmäßig zu überprüfen, um sicherzustellen, dass Ihr Konto sicher ist.

Das Verhindern der Kontokompromittierung ist einfacher als das Wiederherstellen. Daher ist es wichtig, Ihren Sicherheitsstatus zu stärken.

  • Überprüfen Sie das Kontingent für die Azure-Kundenabonnements, und übermitteln Sie die Anforderung, um das nicht verwendete Kontingent zu reduzieren. Weitere Informationen finden Sie unter "Kontingent reduzieren".
  • Überprüfen und Implementieren der bewährten Methoden für Cloud-Lösungsanbieter.
  • Arbeiten Sie mit Ihren Kunden zusammen, um die bewährten Methoden für die Kundensicherheit zu erlernen und zu implementieren.
  • Stellen Sie sicher, dass Defender für Cloud aktiviert ist (Für diesen Dienst steht eine kostenlose Stufe zur Verfügung).
  • Stellen Sie sicher, dass Defender für Cloud aktiviert ist (Für diesen Dienst steht eine kostenlose Stufe zur Verfügung).

Weitere Informationen finden Sie im Artikelsupport.

Weitere Tools für die Überwachung

Vorbereiten Ihrer Endkunden

Microsoft sendet Benachrichtigungen an Azure-Abonnements, die zu Ihren Endbenutzern wechseln. Arbeiten Sie mit Ihrem Endkunden zusammen, um sicherzustellen, dass sie angemessen handeln können und auf verschiedene Sicherheitsprobleme in ihrer Umgebung aufmerksam gemacht werden:

  • Richten Sie Nutzungswarnungen mit Azure Monitor oder Azure Cost Management ein.
  • Richten Sie Dienstintegritätswarnungen ein, um andere Benachrichtigungen von Microsoft über Sicherheit und andere verwandte Probleme zu beachten.
  • Arbeiten Sie mit dem Mandantenadministrator Ihrer Organisation zusammen (wenn dies nicht vom Partner verwaltet wird), um erhöhte Sicherheitsmaßnahmen für Ihren Mandanten durchzusetzen (siehe den folgenden Abschnitt).

Zusätzliche Informationen zum Schutz Ihres Mandanten

Wenn Sie vermuten, dass sie nicht autorisierte Nutzung Ihres Azure-Abonnements oder Ihres Kunden verwenden, wenden Sie sich an den Microsoft Azure-Support , damit Microsoft andere Fragen oder Bedenken beschleunigen kann.

Wenn Sie spezielle Fragen zum Partner Center haben, senden Sie eine Supportanfrage im Partner Center. Weitere Informationen: Erhalten Sie Support im Partner Center.

Überprüfen von Sicherheitsbenachrichtigungen unter Aktivitätsprotokollen

  1. Melden Sie sich beim Partner Center an, und wählen Sie das Zahnradsymbol in der oberen rechten Ecke aus, und wählen Sie dann den Arbeitsbereich " Kontoeinstellungen" aus.
  2. Navigieren Sie im linken Bereich zu Aktivitätsprotokollen .
  3. Legen Sie die Datumsangaben von "Von" und "An " im oberen Filter fest.
  4. Wählen Sie unter "Nach Vorgangstyp filtern" die Option "Azure Fraud Event Detected" aus. Sie sollten in der Lage sein, alle Sicherheitswarnungsereignisse anzuzeigen, die für den ausgewählten Zeitraum erkannt wurden.

Warum erhalten Partner ältere Azure-Sicherheitswarnungen?

Microsoft sendet seit Dezember 2021 Azure Betrugswarnungen. In der Vergangenheit basiert die Warnungsbenachrichtigung jedoch nur auf der Opt-In-Einstellung, bei der Partner sich für den Empfang von Benachrichtigungen entscheiden mussten. Wir haben dieses Verhalten geändert. Partner sollten jetzt alle Betrugswarnungen (einschließlich alter Warnungen) beheben, die geöffnet sind. Um Den Sicherheitsstatus Ihrer und Ihrer Kunden zu sichern, befolgen Sie die bewährten Methoden für cloudlösungsanbieter.to secure your and your customers' security posture, follow the Cloud Solution Provider security best practices.

Microsoft sendet die tägliche Betrugszusammenfassung (dies ist die Anzahl der Partner, Kunden und Abonnements betroffen), wenn innerhalb der letzten 60 Tage eine aktive, nicht aufgelöste Betrugswarnung vorhanden ist. Microsoft sendet die tägliche Betrugszusammenfassung (dies ist die Anzahl der Partner, Kunden und Abonnements betroffen), wenn innerhalb der letzten 60 Tage eine aktive, nicht aufgelöste Betrugswarnung vorhanden ist.

Warum werden nicht alle Warnungen angezeigt?

Sicherheitswarnungsbenachrichtigungen sind auf das Erkennen von Mustern bestimmter anomalien Aktionen in Azure beschränkt. Sicherheitswarnungsbenachrichtigungen erkennen nicht und sind nicht garantiert, alle anomalien Verhaltensweisen zu erkennen. Es ist wichtig, dass Sie andere Überwachungsmethoden verwenden, um eine anomaliele Nutzung in den Azure-Abonnements Ihres Kunden zu erkennen, z. B. monatliche Azure-Ausgabenbudgets. Wenn Sie eine Benachrichtigung erhalten, die signifikant ist und falsch negativ ist, wenden Sie sich an den Partnersupport und geben Sie die folgenden Informationen an:

  • Partnermandanten-ID
  • Mandanten-ID des Kunden
  • Abonnement-ID
  • Ressourcen-ID
  • Auswirkungen auf Anfangs- und Auswirkungsendetermine