Responder a eventos de seguridad con el panel Alertas de seguridad

Roles adecuados: Agente de administración

Se aplica a: Partners de facturación directa del Centro de partners y proveedores indirectos

El panel Alertas de seguridad del Centro de partners le ayuda a responder rápidamente a los eventos de seguridad, fraude y otros eventos que se producen en el Centro de partners o en el inquilino del cliente.

API existentes

Si tiene varios inquilinos de Microsoft Entra en el Centro de partners, puede usar las siguientes API para obtener y actualizar alertas en lugar de usar el panel Alertas de seguridad:

Requisitos previos

Para usar el panel Alertas de seguridad del Centro de partners, la cuenta de usuario debe tener asignado el rol Agente de administración.

Importancia de la respuesta oportuna a las alertas

Cuando se crea una alerta en el panel, es fundamental evaluar y mitigar el incidente que provocó la alerta lo antes posible. Como principio rector, se recomienda responder a las alertas en un plazo de una hora. En el caso del tipo de alertas de fraude , cuanto más tiempo tarde en responder y mitigar el incidente que provocó la alerta, mayor será el posible impacto financiero.

Apertura del panel

Para abrir el panel Alertas de seguridad del Centro de partners:

  1. Inicie sesión en el Centro de partners como usuario que tenga el rol Agente de administración.
  2. Seleccione el área de trabajo Insights .
  3. En el menú de la izquierda, en Seguridad, seleccione Alertas.

También puede usar este vínculo para ir directamente al panel.

Visualización de alertas

El panel muestra información sobre las siguientes categorías de alertas.

Captura de pantalla que muestra el panel Alertas de seguridad del Centro de partners, incluido el tiempo medio de respuesta, los nuevos eventos de esta semana, resueltos y sin resolver.

  • Promedio de tiempo: tiempo medio para responder y resolver alertas durante los últimos 30 días.
  • Nuevos eventos de esta semana: el número de nuevas alertas de los últimos siete días.
  • Resuelto: el número de alertas que se resuelven con un motivo especificado (por ejemplo, Legítimo o Fraude).
  • Sin resolver: número de alertas sin resolver que necesitan atención.

En la sección inferior del panel se enumeran las alertas que afectan al inquilino del Centro de partners donde ha iniciado sesión.

Captura de pantalla que muestra el panel Alertas de seguridad y las acciones que puede realizar, incluida Cancelar suscripción y Exportar.

La tabla tiene estas columnas:

  • Nombre de la alerta: información de alto nivel sobre lo que se detectó.
  • Identificador de suscripción: identificador que aparece cuando se detecta una alerta en una suscripción de Azure específica.
  • Identificador de alerta: identificador único de la alerta.
  • Estado de la alerta: estado de la alerta (activa o resuelta).
  • Primer observado: la primera vez que apareció la alerta.
  • Última observación: la hora más reciente en que apareció la alerta.
  • Tipo de alerta: el tipo de actividad que se detectó y que provocó la alerta. Hay dos tipos de alerta:
    • Notificación de Azure: indica que se envió un mensaje al cliente de la suscripción de Azure afectada y se mostró como una notificación de Service Health . Aparece una copia de este mensaje en los detalles de la alerta.
    • Uso de Azure: indica un aumento inusual de la actividad en la suscripción de Azure o una actividad anómala que se produce en la suscripción, como la minería de criptomonedas.
  • Gravedad: nivel de urgencia al responder a la alerta.

Puede usar la opción Filtrar para cambiar las alertas que aparecen en el panel Alertas .

Puede usar la característica Buscar para buscar todas las alertas de la información que escriba en el cuadro. Los resultados de la búsqueda incluyen la siguiente información:

  • Id. de suscripción
  • Id. de alerta
  • Nombre del cliente

Acciones en la página de detalles de la alerta

Para mostrar más detalles sobre una alerta, seleccione el nombre de la alerta. Por ejemplo, la siguiente alerta de ejemplo muestra el comportamiento relacionado con la minería de criptomoneda que se produce en una suscripción de Azure.

Captura de pantalla que muestra los detalles de alerta relacionados con la minería de criptomoneda.

Sección superior

En la parte superior de la página de detalles de la alerta se muestra información de cliente y revendedor (si procede).

Descripción de alerta

En la sección Descripción de alerta se proporciona información general sobre por qué se produjo la alerta, junto con los pasos para investigar.

Recursos afectados

La sección Recursos afectados contiene dos acciones:

  • Marcar como legítimo: ha investigado los recursos y no ha encontrado ninguna evidencia de lo que la alerta indica o comprueba con el cliente que se espera el comportamiento.
  • Marcar como fraude: ha investigado los recursos y ha detectado que estaban realizando el comportamiento indicado por la alerta.

Cuando complete la investigación en la alerta, seleccione una acción para indicar al Centro de partners lo que ha descubierto. Al seleccionar una acción, se marca la alerta Resuelta. La acción que seleccione indica el motivo (es decir, el valor reason ) por el que va a resolver la alerta.

Información de recursos

La sección Información de recursos proporciona detalles sobre los recursos implicados en la detección que provocó la alerta. En este ejemplo, hay una máquina virtual denominada badvmtest en el grupo de recursos denominado testserver. Los valores de hora de la primera conexión y hora de la última conexión indican cuándo hemos detectado por primera vez este recurso que se comunica con un grupo de minería de datos conocido y la hora más reciente que hemos observado.

Información adicional

En la sección Información adicional se proporcionan detalles sobre el comportamiento que muestra el recurso, si hay alguno disponible. En este ejemplo, la máquina virtual badvmtest se comunica con la dirección IP de un grupo de minería de datos conocido. La sección Información de recursos muestra que se ha conectado a la dirección IP cuatro veces entre la primera hora de conexión y la hora de la última conexión.

Recursos

En la sección Recursos , use los vínculos para obtener más información sobre las alertas y qué hacer cuando reciba una alerta.

Sección inferior

En la parte inferior de la página de detalles de la alerta se muestran tres botones para las acciones que puede realizar.

Captura de pantalla que muestra la parte inferior de una alerta de seguridad, con opciones para cancelar una suscripción, administrar una suscripción o volver a las alertas.

  • Cancelar suscripción: debe tener roles de administrador global y agente de administración para usar esta acción. Si la investigación en la alerta indica que una entidad no autorizada ha superado la suscripción de Azure, puede seleccionar Cancelar suscripción para desasignar todos los recursos de la suscripción de Azure y marcar todos los datos de la suscripción para su eliminación después del período de retención.

    Antes de realizar esta acción, se recomienda comunicarse con el cliente sobre la alerta y, si es posible, obtener su consentimiento para cancelar la suscripción. Al seleccionar el botón, aparece un cuadro de diálogo y le pide que confirme que comprende el impacto de esta acción.

    Captura de pantalla que muestra el cuadro de diálogo para cancelar una suscripción, con opciones para volver atrás y continuar con la cancelación.

    Para cancelar la suscripción de Azure, seleccione Continuar con la cancelación. Al seleccionar Continuar con la cancelación, la suscripción se cancela y todas las alertas de esa suscripción se marcan como Resueltas con el motivo Fraude.

    Para más información, consulte Cancelar una suscripción de Azure.

  • Administrar suscripción: esta acción le lleva a Azure Portal mediante El administrador en nombre de (AOBO). En función del nivel de acceso que el cliente le concedió, es posible que pueda investigar aún más los recursos indicados en los detalles de la alerta. Para más información, consulte Administración de suscripciones y recursos en el plan de Azure.

  • Volver a las alertas: esta acción le devuelve al panel Alertas de seguridad con la lista de alertas.

Acciones en el panel Alertas de seguridad

Encima de la lista de alertas del panel Alertas de seguridad hay dos acciones que puede realizar.

Captura de pantalla que muestra el panel Alertas de seguridad y las opciones para cancelar una suscripción y exportar información.

  • Cancelar suscripción: debe tener roles de administrador global y agente de administración para usar esta acción. Si la investigación en la alerta indica que una entidad no autorizada ha superado la suscripción de Azure, puede seleccionar Cancelar suscripción para desasignar todos los recursos de la suscripción de Azure y marcar todos los datos de la suscripción para su eliminación después del período de retención.

    Antes de realizar esta acción, se recomienda comunicarse con el cliente sobre la alerta y, si es posible, obtener su consentimiento para cancelar la suscripción. Al seleccionar el botón, aparece un cuadro de diálogo y le pide que confirme que comprende el impacto de esta acción.

    Para cancelar la suscripción de Azure, seleccione Continuar con la cancelación.

    Captura de pantalla que muestra el cuadro de diálogo de confirmación para cancelar una suscripción.

  • Exportar: si desea exportar toda la información detallada sobre las alertas, puede usar la acción Exportar para descargar un archivo de valor separado por comas (CSV) que contenga la información de alerta.

    Esta acción genera un archivo CSV con solo las alertas que está viendo actualmente. Para ajustar las alertas que desea exportar, use la opción Filtrar .