Detección de alertas de seguridad y respuesta a ellas

Roles adecuados: Agente de administración

Se aplica a: Factura directa del Centro de partners y proveedores indirectos

Puede suscribirse a una nueva alerta de seguridad para las detecciones relacionadas con el abuso de parte no autorizado y las adquisición de cuentas. Esta alerta de seguridad es una de las muchas maneras en que Microsoft proporciona los datos que necesita para proteger los inquilinos del cliente. Puede suscribirse a una nueva alerta de seguridad para las detecciones relacionadas con el abuso de parte no autorizado y las adquisición de cuentas. Esta alerta de seguridad es una de las muchas maneras en que Microsoft proporciona los datos que necesita para proteger los inquilinos del cliente.

Importante

Como asociado en el programa Proveedor de soluciones en la nube (CSP), es responsable del consumo de Azure de los clientes, por lo que es importante que conozca cualquier uso anómalo en las suscripciones de Azure del cliente. Use alertas de seguridad de Microsoft Azure para detectar patrones de actividades fraudulentas y uso incorrecto en los recursos de Azure para ayudar a reducir la exposición a los riesgos de transacción en línea. Las alertas de seguridad de Microsoft Azure no detectan todos los tipos de actividades fraudulentas o uso indebido, por lo que es fundamental usar métodos adicionales de supervisión para ayudar a detectar el uso anómalo en las suscripciones de Azure de su cliente. Para obtener más información, consulte Administración de pagos, fraudes o uso indebido y Administración de cuentas de cliente.

Acción requerida: con la supervisión y el reconocimiento de señales, puede tomar medidas inmediatas para determinar si el comportamiento es legítimo o fraudulento. Si es necesario, puede suspender los recursos de Azure afectados o las suscripciones de Azure para mitigar un problema.

Asegúrese de que la dirección de correo electrónico preferida para los agentes de administración de partners está actualizada, por lo que se les puede notificar junto con los contactos de seguridad.

Suscribirse a las notificaciones de alertas de seguridad

Puede suscribirse a varias notificaciones de asociados en función de su rol.

Las alertas de seguridad le notifican cuando la suscripción de Azure del cliente muestra posibles actividades anómalas.

Obtención de alertas por correo electrónico

  1. Inicie sesión en el Centro de partners y seleccione Notificaciones (campana).
  2. Seleccione Mis preferencias.
  3. Establezca una dirección de correo electrónico preferida si aún no lo ha hecho.
  4. Establezca el idioma preferido para la notificación si aún no lo ha hecho.
  5. Seleccione Editar junto a Preferencias de notificación por correo electrónico.
  6. Active todas las casillas relacionadas con Clientes en la columna Área de trabajo. (Para cancelar la suscripción, anule la selección de la sección transaccional en el área de trabajo del cliente).
  7. Seleccione Guardar.

Se envían alertas de seguridad cuando detectamos posibles actividades de alertas de seguridad o uso incorrecto en algunas de las suscripciones de Microsoft Azure de sus clientes. Hay tres tipos de correos electrónicos:

  • Resumen diario de alertas de seguridad sin resolver (recuento de asociados, clientes y suscripciones afectados por varios tipos de alertas)
  • Alertas de seguridad casi en tiempo real. Para obtener una lista de las suscripciones de Azure que tienen posibles problemas de seguridad, consulte Obtención de eventos de fraude.
  • Notificaciones de aviso de seguridad casi en tiempo real. Estas notificaciones proporcionan visibilidad de las notificaciones enviadas al cliente cuando hay una alerta de seguridad.

Proveedor de soluciones en la nube asociados de facturación directa (CSP) pueden ver más alertas para las actividades, por ejemplo: uso anómalo de proceso, minería de datos criptográficas, uso de Azure Machine Learning y notificaciones de aviso de estado del servicio. Proveedor de soluciones en la nube asociados de facturación directa (CSP) pueden ver más alertas para las actividades, por ejemplo: uso anómalo de proceso, minería de datos criptográficas, uso de Azure Machine Learning y notificaciones de aviso de estado del servicio.

Obtención de alertas a través de un webhook

Los asociados pueden registrarse en un evento de webhook: azure-fraud-event-detected para recibir alertas de eventos de cambio de recursos. Para obtener más información, consulte Eventos de webhook del Centro de partners.

Consulte y responda a las alertas a través del panel Alertas de seguridad

Los asociados de CSP pueden acceder al panel alertas de seguridad del Centro de partners para detectar y responder a alertas. Para obtener más información, consulte Respuesta a eventos de seguridad con el panel de alertas de seguridad del Centro de partners. Los asociados de CSP pueden acceder al panel alertas de seguridad del Centro de partners para detectar y responder a alertas. Para obtener más información, consulte Respuesta a eventos de seguridad con el panel de alertas de seguridad del Centro de partners.

Obtención de detalles de alertas a través de la API

Uso de la nueva API de alertas de seguridad de Microsoft Graph (beta)

Ventajas: a partir de mayo de 2024, la versión preliminar de la API de alertas de Seguridad de Microsoft Graph está disponible. Esta API proporciona una experiencia de puerta de enlace de API unificada en otras servicios Microsoft, como El identificador de Microsoft Entra, Teams y Outlook.

Requisitos de incorporación: los asociados de CSP que están incorporando son necesarios para usar la nueva API beta de alertas de seguridad. Para más información, consulte Uso de la API de alertas de seguridad de asociados en Microsoft Graph.

La versión V1 de La API de alertas de seguridad de Microsoft Graph se publicará en julio de 2024.

Caso de uso API existentes
Incorporación a Microsoft Graph API para obtener el token de acceso Obtener acceso en nombre de un usuario
Enumerar alertas de seguridad para obtener visibilidad de las alertas Enumerar securityAlerts
Obtenga alertas de seguridad para obtener visibilidad de una alerta específica basada en el parámetro de consulta seleccionado. Obtener partnerSecurityAlert
Obtener token para llamar a las API del Centro de partners para obtener información de referencia Habilitar el modelo de aplicaciones seguras
Obtención de la información del perfil de la organización Obtener un perfil de la organización
Obtención de la información del cliente por identificador Obtener un cliente según el id.
Obtener la información de revendedores indirectos de un cliente por identificador Obtener revendedores indirectos de un cliente
Obtención de la información de suscripción del cliente por identificador Obtener una suscripción según el id.
Actualización del estado de la alerta y resolución cuando se mitiga Actualizar partnerSecurityAlert

Compatibilidad con la API FraudEvents existente

Importante

La API de eventos de fraude heredado quedará en desuso en CY Q4 2024. Para obtener más información, consulta los anuncios mensuales de seguridad del Centro de partners. Los asociados de CSP deben migrar a la nueva API de alertas de seguridad de Microsoft Graph, que ahora está disponible en versión preliminar.

Durante el período de transición, los asociados de CSP pueden seguir usando la API FraudEvents para obtener señales de detección adicionales mediante X-NewEventsModel. Con este modelo, puede obtener nuevos tipos de alertas a medida que se agregan al sistema, por ejemplo, el uso anómalo de proceso, la minería de cifrado, el uso de Azure Machine Learning y las notificaciones de aviso de estado del servicio. Se pueden agregar nuevos tipos de alertas con un aviso limitado, ya que las amenazas también evolucionan. Si usa un control especial a través de la API para distintos tipos de alertas, supervise estas API para ver los cambios:

Qué hacer cuando reciba una notificación de alerta de seguridad

La siguiente lista de comprobación proporciona los pasos siguientes sugeridos para saber qué hacer al recibir una notificación de seguridad.

  • Compruebe que la notificación por correo electrónico es válida. Cuando se envían alertas de seguridad, se envían desde Microsoft Azure, con la dirección de correo electrónico: no-reply@microsoft.com. Los partners solo reciben notificaciones de Microsoft.
  • Cuando se le notifique, también puede ver la alerta de correo electrónico en el portal del Centro de actividades. Seleccione el icono de campana para ver las alertas del Centro de actividades.
  • Revise las suscripciones de Azure. Determine si la actividad de la suscripción es legítima y esperada, o si la actividad podría deberse a abusos o fraudes no autorizados.
  • Háganos saber lo que encontró, ya sea mediante el panel Alertas de seguridad o desde la API. Para más información sobre el uso de la API, consulte Actualización del estado del evento de fraude. Use las siguientes categorías para describir lo que encontró:

¿Qué otros pasos puede llevar a cabo para reducir el riesgo de poner en peligro?

¿Qué debe hacer si se ha puesto en peligro una suscripción de Azure?

Tome medidas inmediatas para proteger la cuenta y los datos. Estas son algunas sugerencias y sugerencias para responder rápidamente y contener un posible incidente para reducir su impacto y el riesgo empresarial general.

La corrección de las identidades en peligro en un entorno de nube es fundamental para garantizar la seguridad general de los sistemas basados en la nube. Las identidades en peligro pueden proporcionar a los atacantes acceso a datos y recursos confidenciales, lo que hace esencial tomar medidas inmediatas para proteger la cuenta y los datos.

Después de expulsar a los actores malintencionados, limpie los recursos en peligro. Manténgase atento a la suscripción afectada para asegurarse de que no haya ninguna actividad sospechosa adicional. También es recomendable revisar periódicamente los registros y los seguimientos de auditoría para asegurarse de que su cuenta es segura.

Evitar el riesgo de la cuenta es más fácil que recuperarse de ella. Por lo tanto, es importante reforzar la posición de seguridad.

  • Revise la cuota de las suscripciones de Azure de los clientes y envíe la solicitud para reducir la cuota sin usar. Para obtener más información, consulte Reducir cuota.
  • Revise e implemente los procedimientos recomendados de seguridad de Proveedor de soluciones en la nube.
  • Trabaje con sus clientes para aprender e implementar los procedimientos recomendados de seguridad del cliente.
  • Asegúrese de que Defender for Cloud está activado (hay un nivel gratuito disponible para este servicio).
  • Asegúrese de que Defender for Cloud está activado (hay un nivel gratuito disponible para este servicio).

Para obtener más información, consulte el artículo compatibilidad.

Más herramientas para la supervisión

Preparación de los clientes finales

Microsoft envía notificaciones a las suscripciones de Azure, que van a los clientes finales. Trabaje con el cliente final para asegurarse de que puede actuar correctamente y se le avise de varios problemas de seguridad dentro de su entorno:

  • Configure alertas de uso con Azure Monitor o Azure Cost Management.
  • Configure alertas de Service Health para tener en cuenta otras notificaciones de Microsoft sobre la seguridad y otros problemas relacionados.
  • Trabaje con el administrador de inquilinos de su organización (si el asociado no lo administra) para aplicar medidas de seguridad mejoradas en el inquilino (consulte la sección siguiente).

Información adicional para proteger el inquilino

Si sospecha un uso no autorizado de la suscripción de Azure de su cliente o de su cliente, póngase en contacto con el soporte técnico de Microsoft Azure para que Microsoft pueda ayudar a acelerar cualquier otra pregunta o preocupación.

Si tiene preguntas específicas sobre el Centro de partners, envíe una solicitud de soporte técnico en el Centro de partners. Para obtener más información: Obtener soporte técnico en el Centro de partners.

Comprobación de las notificaciones de seguridad en Registros de actividad

  1. Inicie sesión en el Centro de partners y seleccione el icono de configuración (engranaje) en la esquina superior derecha y, a continuación, seleccione el área de trabajo Configuración de la cuenta.
  2. Vaya a Registros de actividad en el panel izquierdo.
  3. Establezca las fechas From y To en el filtro superior.
  4. En Filtrar por tipo de operación, seleccione Evento de fraude de Azure Detectado. Debería poder ver todos los eventos de alertas de seguridad detectados durante el período seleccionado.

¿Por qué los asociados reciben alertas de seguridad de Azure anteriores?

Microsoft ha estado enviando alertas de fraude de Azure desde diciembre de 2021. Sin embargo, en el pasado, la notificación de alerta se basaba solo en las preferencias de participación, donde los partners tenían que optar por recibir aviso. Hemos cambiado este comportamiento. Los asociados ahora deben resolver todas las alertas de fraude (incluidas las alertas antiguas) que están abiertas. Para proteger la posición de seguridad de sus clientes y sus clientes, siga los procedimientos recomendados de seguridad Proveedor de soluciones en la nube.

Microsoft envía el resumen diario del fraude (este es el recuento de asociados, clientes y suscripciones afectados) si hay una alerta de fraude no resuelta activa en los últimos 60 días. Microsoft envía el resumen diario del fraude (este es el recuento de asociados, clientes y suscripciones afectados) si hay una alerta de fraude no resuelta activa en los últimos 60 días.

¿Por qué no veo todas las alertas?

Las notificaciones de alertas de seguridad se limitan a detectar patrones de determinadas acciones anómalas en Azure. Las notificaciones de alerta de seguridad no detectan y no se garantiza que detecten todos los comportamientos anómalos. Es fundamental usar otros métodos de supervisión para ayudar a detectar el uso anómalo en las suscripciones de Azure del cliente, como los presupuestos mensuales de gastos de Azure. Si recibe una alerta significativa y es un falso negativo, póngase en contacto con el soporte técnico para partners y proporcione la siguiente información:

  • Id. de inquilino del asociado
  • Identificador de inquilino de cliente
  • Id. de suscripción
  • Identificador del recurso
  • Impacto en las fechas de inicio y finalización del impacto