보안 경고 대시보드를 사용하여 보안 이벤트에 응답
적절한 역할: 관리 에이전트
적용 대상: 파트너 센터 직접 청구 파트너 및 간접 공급자
파트너 센터 보안 경고 대시보드를 사용하면 파트너 센터 또는 고객의 테넌트에서 발생하는 보안, 사기 및 기타 이벤트에 신속하게 대응할 수 있습니다.
API
파트너 센터에 Microsoft Entra 테넌트가 여러 개 있는 경우 다음 API를 사용하여 보안 경고 대시보드를 사용하는 대신 경고를 가져오고 업데이트할 수 있습니다 .
필수 조건
파트너 센터 보안 경고 대시보드를 사용하려면 사용자 계정에 관리 에이전트 역할이 할당되어야 합니다.
경고에 대한 시기적시 대응의 중요성
대시보드에 경고가 생성되면 경고를 발생시킨 인시던트를 최대한 빨리 심사하고 완화하는 것이 중요합니다. 지침 원칙으로 1시간 이내에 경고에 응답하는 것이 좋습니다. 사기 행위 유형의 경고의 경우 경고를 발생시킨 인시던트에 더 오래 대응하고 완화하는 데 걸리는 시간이 길어질수록 잠재적인 재정적 영향이 커질 수 있습니다.
대시보드 열기
파트너 센터 보안 경고 대시보드를 열려면 다음을 수행합니다 .
- 관리 에이전트 역할이 있는 사용자로 파트너 센터에 로그인합니다.
- Insights 작업 영역을 선택합니다.
- 왼쪽 메뉴의 보안 아래에서 경고를 선택합니다.
이 링크를 사용하여 대시보드로 직접 갈 수도 있습니다.
경고 보기
대시보드에는 다음 경고 범주에 대한 정보가 표시됩니다.
- 평균 시간: 지난 30일 동안 경고에 응답하고 해결하는 평균 시간입니다.
- 이번 주 새 이벤트: 지난 7일 동안의 새 경고 수입니다.
- 해결됨: 지정된 이유(예 : 합법적인 경고 또는 사기)로 해결된 경고 수입니다.
- 해결되지 않은 경우: 주의가 필요한 해결되지 않은 경고의 수입니다.
대시보드의 아래쪽 섹션에는 로그인한 파트너 센터 테넌트에 영향을 주는 경고가 나열되어 있습니다.
테이블에는 다음과 같은 열이 있습니다.
- 경고 이름: 검색된 내용에 대한 개략적인 정보입니다.
- 구독 ID: 특정 Azure 구독에서 경고가 검색될 때 나타나는 식별자입니다.
- 경고 ID: 경고의 고유 식별자입니다.
- 경고 상태: 경고의 상태(활성 또는 해결됨)입니다.
- 처음 관찰됨: 경고가 처음 나타난 시간입니다.
- 마지막으로 관찰됨: 경고가 나타난 가장 최근 시간입니다.
- 경고 유형: 검색되고 경고를 발생시킨 활동의 유형입니다. 다음과 같은 두 가지 경고 유형이 있습니다.
- Azure 알림: 영향을 받는 Azure 구독의 고객에게 메시지를 보내고 Service Health 알림으로 표시됨을 나타냅니다. 이 메시지의 복사본이 경고 세부 정보에 표시됩니다.
- Azure 사용량: Azure 구독에서 비정상적인 활동 증가 또는 구독에서 발생하는 비정상적인 활동(예: 암호 화폐 마이닝)을 나타냅니다.
- 심각도: 경고에 응답할 때의 긴급도 수준입니다.
필터 옵션을 사용하여 경고 대시보드에 표시되는 경고를 변경할 수 있습니다.
검색 기능을 사용하여 상자에 입력한 정보에 대한 모든 경고를 검색할 수 있습니다. 검색 결과에는 다음 정보가 포함됩니다.
- 구독 ID
- 경고 ID
- 고객 이름
경고 세부 정보 페이지의 작업
경고에 대한 자세한 내용을 표시하려면 경고 이름을 선택합니다. 예를 들어 다음 예제 경고는 Azure 구독에서 발생하는 암호 화폐 마이닝과 관련된 동작을 보여 줍니다.
맨 위 섹션
경고 세부 정보 페이지의 맨 위에는 고객 및 재판매인(해당하는 경우) 정보가 표시됩니다.
경고 설명
경고 설명 섹션에서는 경고가 발생한 이유에 대한 개요와 조사 단계를 제공합니다.
영향을 받는 리소스
영향을 받은 리소스 섹션에는 다음 두 가지 작업이 포함되어 있습니다.
- 합법적인 것으로 표시: 리소스를 조사한 결과 고객에게 경고가 표시되거나 확인된 내용에 대한 증거를 찾지 못했습니다.
- 사기로 표시: 리소스를 조사한 결과 경고가 나타내는 동작을 수행하고 있음을 발견했습니다.
경고에 대한 조사를 완료하면 파트너 센터에 발견한 내용을 알리는 작업을 선택합니다. 작업을 선택하면 경고 가 해결됨으로 표시됩니다. 선택한 작업은 경고를 해결하는 이유(즉, 이유 값)를 나타냅니다.
리소스 정보
리소스 정보 섹션에서는 경고를 발생시킨 검색과 관련된 리소스에 대한 세부 정보를 제공합니다. 이 예제에서는 testserver라는 리소스 그룹에 badvmtest라는 가상 머신이 있습니다. 첫 번째 연결 시간 및 마지막 연결 시간 값은 알려진 마이닝 풀에 연결한 이 리소스를 처음 감지한 시기와 관찰한 가장 최근 시간을 나타냅니다.
추가 정보
추가 정보 섹션에서는 리소스가 표시되는 동작(사용 가능한 경우)에 대한 세부 정보를 제공합니다. 이 예제에서 가상 머신 badvmtest 는 알려진 마이닝 풀의 IP 주소와 통신했습니다. 리소스 정보 섹션은 첫 번째 연결 시간과 마지막 연결 시간 사이에 IP 주소에 4번 연결되었음을 보여줍니다.
리소스
리소스 섹션에서 링크를 사용하여 경고를 받을 때 수행할 작업 및 경고에 대해 자세히 알아봅니다.
하단 섹션
경고 세부 정보 페이지의 맨 아래에는 수행할 수 있는 작업에 대한 세 개의 단추가 표시됩니다.
구독 취소: 이 작업을 사용하려면 전역 관리자 및 관리자 에이전트 역할이 모두 있어야 합니다. 경고에 대한 조사 결과 권한이 없는 당사자가 Azure 구독을 재정의한 것으로 표시되면 구독 취소를 선택하여 Azure 구독 의 모든 리소스를 할당 취소하고 보존 기간 후에 삭제할 구독의 모든 데이터를 표시할 수 있습니다.
이 작업을 수행하기 전에 경고에 대해 고객과 통신하고(가능한 경우) 구독을 취소하는 데 동의하는 것이 좋습니다. 단추를 선택하면 대화 상자가 나타나고 이 작업의 영향을 이해하도록 요청합니다.
Azure 구독을 취소하려면 취소를 사용하여 계속을 선택합니다. 취소로 계속을 선택하면 구독이 취소되고 해당 구독에 대한 모든 경고가 사기로 인해 해결됨으로 표시됩니다.
자세한 내용은 Azure 구독 취소를 참조 하세요.
구독 관리: 이 작업을 수행하면 AOBO(관리자를 대신하여)를 사용하여 Azure Portal로 이동합니다. 고객이 사용자에게 부여한 액세스 수준에 따라 경고 세부 정보에 표시된 리소스를 추가로 조사할 수 있습니다. 자세한 내용은 Azure 플랜에 따라 구독 및 리소스 관리를 참조하세요.
경고로 돌아가기: 이 작업은 경고 목록이 포함된 보안 경고 대시보드로 돌아갑니다.
보안 경고 대시보드의 작업
보안 경고 대시보드의 경고 목록 위에는 수행할 수 있는 두 가지 작업이 있습니다.
구독 취소: 이 작업을 사용하려면 전역 관리자 및 관리자 에이전트 역할이 모두 있어야 합니다. 경고에 대한 조사 결과 권한이 없는 당사자가 Azure 구독을 재정의한 것으로 표시되면 구독 취소를 선택하여 Azure 구독 의 모든 리소스를 할당 취소하고 보존 기간 후에 삭제할 구독의 모든 데이터를 표시할 수 있습니다.
이 작업을 수행하기 전에 경고에 대해 고객과 통신하고(가능한 경우) 구독을 취소하는 데 동의하는 것이 좋습니다. 단추를 선택하면 대화 상자가 나타나고 이 작업의 영향을 이해하도록 요청합니다.
Azure 구독을 취소하려면 취소를 사용하여 계속을 선택합니다.
내보내기: 경고에 대한 자세한 정보를 모두 내보내려면 내보내기 작업을 사용하여 경고 정보가 포함된 CSV(쉼표로 구분된 값) 파일을 다운로드할 수 있습니다.
이 작업은 현재 보고 있는 경고만 있는 CSV 파일을 생성합니다. 내보낼 경고를 조정하려면 필터 옵션을 사용합니다.