Reagieren auf Sicherheitsereignisse mit dem Dashboard "Sicherheitswarnungen"

Geeignete Rollen: Administrator-Agent

Gilt für: Partner Center Direct-Bill-Partner und indirekte Anbieter

Das Partner Center Security Alerts-Dashboard hilft Ihnen, schnell auf Sicherheit, Betrug und andere Ereignisse zu reagieren, die im Partner Center oder im Mandanten Ihres Kunden auftreten.

APIs

Wenn Sie über mehrere Microsoft Entra-Mandanten im Partner Center verfügen, können Sie die folgenden APIs verwenden, um Warnungen abzurufen und zu aktualisieren, anstatt das Dashboard für Sicherheitswarnungen zu verwenden:

Voraussetzungen

Um das Partner Center Security Alerts-Dashboard zu verwenden, muss Ihrem Benutzerkonto die Administrator-Agent-Rolle zugewiesen sein.

Wichtigkeit der rechtzeitigen Reaktion auf Warnungen

Wenn eine Warnung in Ihrem Dashboard erstellt wird, ist es wichtig, dass Sie den Vorfall, der die Warnung so schnell wie möglich verursacht hat, triagen und mindern. Als Leitprinzip empfehlen wir, innerhalb einer Stunde auf Warnungen zu reagieren. Je länger Sie auf den Vorfall reagieren und den Vorfall mindern, der die Warnung verursacht hat, desto größer ist die potenzielle finanzielle Auswirkung.

Öffnen des Dashboards

So öffnen Sie das Partner Center Security Alerts-Dashboard :

  1. Melden Sie sich beim Partner Center als Benutzer an, der über die Administrator-Agent-Rolle verfügt.
  2. Wählen Sie den Insights-Arbeitsbereich aus.
  3. Wählen Sie im linken Menü unter "Sicherheit" die Option "Warnungen" aus.

Sie können diesen Link auch verwenden, um direkt zum Dashboard zu wechseln.

Anzeigen von Warnungen

Das Dashboard zeigt Informationen zu den folgenden Warnungskategorien an.

Screenshot des Partner Center Security Alerts-Dashboards, einschließlich durchschnittlicher Antwortzeit, neuer Ereignisse in dieser Woche, aufgelöst und nicht aufgelöst.

  • Durchschnittliche Zeit: Die durchschnittliche Zeit zum Beantworten und Beheben von Warnungen in den letzten 30 Tagen.
  • Neue Ereignisse in dieser Woche: Die Anzahl der neuen Warnungen für die letzten sieben Tage.
  • Behoben: Die Anzahl der Warnungen, die mit einem angegebenen Grund aufgelöst werden (z . B. Legitim oder Betrug).
  • Ungelöst: Die Anzahl der ungelösten Warnungen, die Aufmerksamkeit benötigen.

Im unteren Abschnitt des Dashboards werden Warnungen aufgelistet, die sich auf den Partner Center-Mandanten auswirken, in dem Sie angemeldet sind.

Screenshot des Dashboards für Sicherheitswarnungen und Aktionen, die Sie ausführen können, einschließlich Abonnement kündigen und Exportieren.

Die Tabelle enthält die folgenden Spalten:

  • Warnungsname: Allgemeine Informationen zu den erkannten Informationen.
  • Abonnement-ID: Ein Bezeichner, der angezeigt wird, wenn eine Warnung in einem bestimmten Azure-Abonnement erkannt wird.
  • Warnungs-ID: Der eindeutige Bezeichner für die Warnung.
  • Warnungsstatus: Der Status der Warnung (aktiv oder aufgelöst).
  • Zuerst beobachtet: Das erste Mal, dass die Warnung angezeigt wurde.
  • Zuletzt beobachtet: Die letzte Zeit, zu der die Warnung angezeigt wurde.
  • Warnungstyp: Der Typ der erkannten Aktivität und die die Warnung verursacht hat. Es gibt zwei Warnungstypen:
    • Azure-Benachrichtigung: Gibt an, dass eine Nachricht an den Kunden des betroffenen Azure-Abonnements gesendet und als Dienststatusbenachrichtigung angezeigt wurde. Eine Kopie dieser Nachricht wird in den Warnungsdetails angezeigt.
    • Azure-Nutzung: Gibt entweder eine ungewöhnliche Zunahme der Aktivität im Azure-Abonnement oder eine anomaliele Aktivität im Abonnement an, z. B. Kryptowährungsmining.
  • Schweregrad: Die Dringlichkeit bei der Reaktion auf die Warnung.

Mit der Option "Filter" können Sie ändern, welche Warnungen im Warnungsdashboard angezeigt werden.

Sie können die Suchfunktion verwenden, um alle Warnungen nach den Informationen zu durchsuchen, die Sie in das Feld eingeben. Zu den Suchergebnissen gehören die folgenden Informationen:

  • Abonnement-ID
  • Warnungs-ID
  • Kundenname

Aktionen auf der Benachrichtigungsdetailseite

Wenn Sie weitere Details zu einer Warnung anzeigen möchten, wählen Sie den Warnungsnamen aus. Die folgende Beispielwarnung zeigt z. B. das Verhalten, das sich auf den Kryptowährungs-Mining bezieht, der in einem Azure-Abonnement auftritt.

Screenshot, der Warnungsdetails im Zusammenhang mit kryptowährungs mining zeigt.

Oberer Abschnitt

Oben auf der Benachrichtigungsdetailseite werden Informationen zu Kunden und Vertriebspartnern (falls zutreffend) angezeigt.

Warnungsbeschreibung

Der Abschnitt "Warnungsbeschreibung " enthält eine Übersicht darüber, warum die Warnung aufgetreten ist, sowie Schritte zur Untersuchung.

Betroffene Ressourcen

Der Abschnitt "Betroffene Ressourcen " enthält zwei Aktionen:

  • Als legitim kennzeichnen: Sie haben die Ressourcen untersucht und entweder keinen Beweis dafür gefunden, was die Warnung mit dem Kunden angegeben oder überprüft hat, dass das Verhalten erwartet wird.
  • Als Betrug kennzeichnen: Sie haben die Ressourcen untersucht und festgestellt, dass sie das Verhalten ausgeführt haben, das die Warnung angegeben hat.

Wenn Sie Ihre Untersuchung in der Warnung abschließen, wählen Sie eine Aktion aus, um Partner Center mitzuteilen, was Sie entdeckt haben. Wenn Sie eine Aktion auswählen, wird die Warnung aufgelöst. Die von Ihnen ausgewählte Aktion gibt den Grund (d. h. den Grundwert ) an, warum Sie die Warnung auflösen.

Ressourceninformationen

Der Abschnitt "Ressourceninformationen " enthält Details zu den Ressourcen, die an der Erkennung beteiligt waren, die die Warnung verursacht hat. In diesem Beispiel gibt es einen virtuellen Computer mit dem Namen "badvmtest " in der Ressourcengruppe mit dem Namen "testserver". Die Werte für die erste Verbindung und die Uhrzeit der letzten Verbindung geben an, wann diese Ressource erkannt wurde, die einen bekannten Miningpool kontaktiert hat, und die letzte Zeit, zu der wir sie beobachtet haben.

Weitere Informationen

Der Abschnitt "Zusätzliche Informationen " enthält Details zum Verhalten, das die Ressource anzeigt, sofern vorhanden. In diesem Beispiel kommunizierte der virtuelle Computer badvmtest mit der IP-Adresse eines bekannten Miningpools. Im Abschnitt "Ressourceninformationen" wird gezeigt, dass sie viermal zwischen der ersten Verbindung und der letzten Verbindung mit der IP-Adresse verbunden ist.

Ressourcen

Verwenden Sie im Abschnitt "Ressourcen " die Links, um mehr über Warnungen zu erfahren und zu tun, wenn Sie eine Benachrichtigung erhalten.

Unterer Abschnitt

Unten auf der Seite mit den Warnungsdetails werden drei Schaltflächen für Aktionen angezeigt, die Sie ausführen können.

Screenshot, der das Ende einer Sicherheitswarnung mit Optionen zum Kündigen eines Abonnements, Verwalten eines Abonnements oder zurück zu Warnungen zeigt.

  • Abonnement kündigen: Sie müssen über die Rollen "Globaler Administrator" und "Administrator-Agent" verfügen, um diese Aktion zu verwenden. Wenn Ihre Untersuchung in der Warnung darauf hinweist, dass eine nicht autorisierte Partei das Azure-Abonnement überholt, können Sie "Abonnement kündigen" auswählen, um alle Ressourcen im Azure-Abonnement zu verwalten und alle Daten im Abonnement nach dem Aufbewahrungszeitraum für die Löschung zu markieren.

    Bevor Sie diese Aktion ausführen, empfehlen wir Ihnen, mit Ihrem Kunden über die Warnung zu kommunizieren und (sofern möglich) seine Zustimmung zum Kündigen des Abonnements zu erhalten. Wenn Sie die Schaltfläche auswählen, wird ein Dialogfeld angezeigt, und Sie werden aufgefordert, zu bestätigen, dass Sie die Auswirkungen dieser Aktion verstehen.

    Screenshot des Dialogfelds zum Kündigen eines Abonnements mit Optionen zum Zurückwechseln und Fortsetzen der Kündigung.

    Um das Azure-Abonnement zu kündigen, wählen Sie "Mit Kündigung fortfahren" aus. Wenn Sie "Mit Kündigung fortfahren" auswählen, wird das Abonnement storniert, und alle Benachrichtigungen für dieses Abonnement werden mit dem Grund "Betrug behoben" gekennzeichnet.

    Weitere Informationen finden Sie unter Kündigen eines Azure-Abonnements.

  • Abonnement verwalten: Diese Aktion führt Sie mit Administrator im Auftrag von (AOBO) zum Azure-Portal. Basierend auf der Zugriffsebene, die ihnen der Kunde gewährt hat, können Sie möglicherweise die in den Warnungsdetails angegebenen Ressourcen weiter untersuchen. Weitere Informationen finden Sie unter "Verwalten von Abonnements und Ressourcen" im Azure-Plan.

  • Zurück zu Warnungen: Diese Aktion gibt Sie mit der Liste der Warnungen zum Dashboard "Sicherheitswarnungen " zurück.

Aktionen im Dashboard "Sicherheitswarnungen"

Über der Warnungsliste im Dashboard "Sicherheitswarnungen " befinden sich zwei Aktionen, die Sie ausführen können.

Screenshot des Dashboards für Sicherheitswarnungen und der Optionen zum Kündigen eines Abonnements und Exportieren von Informationen.

  • Abonnement kündigen: Sie müssen über die Rollen "Globaler Administrator" und "Administrator-Agent" verfügen, um diese Aktion zu verwenden. Wenn Ihre Untersuchung in der Warnung darauf hinweist, dass eine nicht autorisierte Partei das Azure-Abonnement überholt, können Sie "Abonnement kündigen" auswählen, um alle Ressourcen im Azure-Abonnement zu verwalten und alle Daten im Abonnement nach dem Aufbewahrungszeitraum für die Löschung zu markieren.

    Bevor Sie diese Aktion ausführen, empfehlen wir Ihnen, mit Ihrem Kunden über die Warnung zu kommunizieren und (sofern möglich) seine Zustimmung zum Kündigen des Abonnements zu erhalten. Wenn Sie die Schaltfläche auswählen, wird ein Dialogfeld angezeigt, und Sie werden aufgefordert, zu bestätigen, dass Sie die Auswirkungen dieser Aktion verstehen.

    Um das Azure-Abonnement zu kündigen, wählen Sie "Mit Kündigung fortfahren" aus.

    Screenshot des Bestätigungsdialogfelds zum Kündigen eines Abonnements.

  • Export: Wenn Sie alle detaillierten Informationen zu den Warnungen exportieren möchten, können Sie die Exportaktion verwenden, um eine CSV-Datei (Kommagetrennte Werte) herunterzuladen, die die Warnungsinformationen enthält.

    Diese Aktion erzeugt eine CSV-Datei mit nur den Warnungen, die Sie derzeit anzeigen. Verwenden Sie die Option "Filter ", um die zu exportierenden Benachrichtigungen anzupassen.