Condividi tramite


Individuare e rispondere agli avvisi di sicurezza

Ruoli appropriati: agente di amministrazione

Si applica a: Provider indiretti e fatturazione diretta del Centro per i partner

È possibile sottoscrivere un nuovo avviso di sicurezza per i rilevamenti relativi a abusi e acquisizioni di account non autorizzati. Questo avviso di sicurezza è uno dei molti modi in cui Microsoft fornisce i dati necessari per proteggere i tenant del cliente. È possibile sottoscrivere un nuovo avviso di sicurezza per i rilevamenti relativi a abusi e acquisizioni di account non autorizzati. Questo avviso di sicurezza è uno dei molti modi in cui Microsoft fornisce i dati necessari per proteggere i tenant del cliente.

Importante

In qualità di partner nel programma Cloud Solution Provider (CSP), si è responsabili dell'utilizzo di Azure dei clienti, quindi è importante tenere presente qualsiasi utilizzo anomalo nelle sottoscrizioni di Azure del cliente. Usare gli avvisi di sicurezza di Microsoft Azure per rilevare modelli di attività fraudolente e uso improprio nelle risorse di Azure per ridurre l'esposizione ai rischi delle transazioni online. Gli avvisi di sicurezza di Microsoft Azure non rilevano tutti i tipi di attività fraudolente o uso improprio, pertanto è fondamentale usare metodi aggiuntivi di monitoraggio per rilevare l'utilizzo anomalo nelle sottoscrizioni di Azure del cliente. Per altre informazioni, vedere Gestione di pagamenti, frodi o uso improprio e Gestione degli account dei clienti.

Azione necessaria: con il monitoraggio e la consapevolezza dei segnali, è possibile intervenire immediatamente per determinare se il comportamento è legittimo o fraudolento. Se necessario, è possibile sospendere le risorse di Azure interessate o le sottoscrizioni di Azure per attenuare un problema.

Assicurarsi che l'indirizzo di posta elettronica preferito per gli agenti di amministrazione partner sia aggiornato, in modo che possano ricevere una notifica insieme ai contatti di sicurezza.

Sottoscrivere le notifiche degli avvisi di sicurezza

È possibile sottoscrivere diverse notifiche dei partner in base al ruolo.

Gli avvisi di sicurezza segnalano quando la sottoscrizione di Azure del cliente mostra le possibili attività anomale.

Ricevere avvisi tramite posta elettronica

  1. Accedere al Centro per i partner e selezionare Notifiche (campanello).
  2. Selezionare Preferenze personali.
  3. Impostare un indirizzo di posta elettronica preferito se non è già stato fatto.
  4. Se non è già stato fatto, impostare la lingua preferita per la notifica.
  5. Selezionare Modifica accanto a Preferenze di notifica tramite posta elettronica.
  6. Selezionare tutte le caselle relative ai clienti nella colonna Area di lavoro . Per annullare la sottoscrizione, deselezionare la sezione transazionale nell'area di lavoro del cliente.
  7. Seleziona Salva.

Gli avvisi di sicurezza vengono inviati quando vengono rilevate possibili attività di avviso di sicurezza o uso improprio in alcune sottoscrizioni di Microsoft Azure dei clienti. Esistono tre tipi di messaggi di posta elettronica:

  • Riepilogo giornaliero degli avvisi di sicurezza non risolti (numero di partner, clienti e sottoscrizioni interessati da vari tipi di avviso)
  • Avvisi di sicurezza quasi in tempo reale. Per ottenere un elenco delle sottoscrizioni di Azure che presentano potenziali problemi di sicurezza, vedere Ottenere eventi illeciti.
  • Notifiche di consulenza sulla sicurezza quasi in tempo reale. Queste notifiche forniscono visibilità sulle notifiche inviate al cliente quando è presente un avviso di sicurezza.

I partner con fatturazione diretta cloud Solution Provider (CSP) possono visualizzare altri avvisi per le attività, ad esempio: utilizzo anomalo del calcolo, crypto mining, utilizzo di Azure Machine Learning e notifiche di avviso sull'integrità dei servizi. I partner con fatturazione diretta cloud Solution Provider (CSP) possono visualizzare altri avvisi per le attività, ad esempio: utilizzo anomalo del calcolo, crypto mining, utilizzo di Azure Machine Learning e notifiche di avviso sull'integrità dei servizi.

Ottenere avvisi tramite un webhook

I partner possono registrarsi a un evento webhook: azure-fraud-event-detected per ricevere avvisi per gli eventi di modifica delle risorse. Per altre informazioni, vedere Eventi webhook del Centro per i partner.

Visualizzare e rispondere agli avvisi tramite il dashboard Avvisi di sicurezza

I partner CSP possono accedere al dashboard Avvisi di sicurezza del Centro per i partner per rilevare e rispondere agli avvisi. Per altre informazioni, vedere Rispondere agli eventi di sicurezza con il dashboard Avvisi di sicurezza del Centro per i partner. I partner CSP possono accedere al dashboard Avvisi di sicurezza del Centro per i partner per rilevare e rispondere agli avvisi. Per altre informazioni, vedere Rispondere agli eventi di sicurezza con il dashboard Avvisi di sicurezza del Centro per i partner.

Ottenere i dettagli degli avvisi tramite l'API

Usare la nuova API Avvisi di sicurezza di Microsoft Graph (beta)

Vantaggi: a partire da maggio 2024, è disponibile la versione di anteprima dell'API Avvisi di sicurezza di Microsoft Graph. Questa API offre un'esperienza unificata del gateway API in altri servizi Microsoft, ad esempio Microsoft Entra ID, Teams e Outlook.

Requisiti di onboarding: i partner CSP che eseguono l'onboarding devono usare la nuova API Beta avvisi di sicurezza. Per altre informazioni, vedere Usare l'API degli avvisi di sicurezza dei partner in Microsoft Graph.

La versione V1 dell'API Avvisi di sicurezza di Microsoft Graph verrà rilasciata a luglio 2024.

Caso d'uso API
Eseguire l'onboarding nell'API Microsoft Graph per ottenere il token di accesso Ottenere l'accesso per conto di un utente
Elencare gli avvisi di sicurezza per ottenere visibilità sugli avvisi Elencare securityAlerts
Ottenere avvisi di sicurezza per ottenere visibilità su un avviso specifico in base al parametro di query selezionato. Ottenere partnerSecurityAlert
Ottenere il token per chiamare le API del Centro per i partner per informazioni di riferimento Abilitare il modello di applicazione sicura
Ottenere le informazioni sul profilo dell'organizzazione Ottenere un profilo dell'organizzazione
Ottenere le informazioni del cliente in base all'ID Ottenere un cliente in base all'ID
Ottenere le informazioni sui rivenditori indiretti di un cliente in base all'ID Trovare i partner di un cliente
Ottenere le informazioni sulla sottoscrizione del cliente in base all'ID Ottenere un abbonamento in base all'ID
Aggiornare lo stato dell'avviso e risolverlo in caso di mitigazione Aggiornare partnerSecurityAlert

Supporto per l'API FraudEvents esistente

Importante

L'API degli eventi di frode legacy sarà deprecata in CY Q4 2024. Per altri dettagli, consultare gli annunci mensili relativi alla sicurezza del Centro per i partner. I partner CSP devono eseguire la migrazione alla nuova API Avvisi di sicurezza di Microsoft Graph, ora disponibile in anteprima.

Durante il periodo di transizione, i partner CSP possono continuare a usare l'API FraudEvents per ottenere segnali di rilevamento aggiuntivi usando X-NewEventsModel. Con questo modello è possibile ottenere nuovi tipi di avvisi man mano che vengono aggiunti al sistema, ad esempio, utilizzo di calcolo anomalo, crypto mining, utilizzo di Azure Machine Learning e notifiche di avviso sull'integrità dei servizi. È possibile aggiungere nuovi tipi di avvisi con preavviso limitato, perché le minacce sono in continua evoluzione. Se si usa una gestione speciale tramite l'API per tipi di avviso diversi, monitorare queste API per verificare la presenza di modifiche:

Operazioni da eseguire quando si riceve una notifica di avviso di sicurezza

L'elenco di controllo seguente fornisce i passaggi successivi suggeriti per le operazioni da eseguire quando si riceve una notifica di sicurezza.

  • Verificare che la notifica tramite posta elettronica sia valida. Quando si inviano avvisi di sicurezza, vengono inviati da Microsoft Azure, con l'indirizzo di posta elettronica: no-reply@microsoft.com. I partner ricevono notifiche solo da Microsoft.
  • Quando si riceve una notifica, è anche possibile visualizzare l'avviso di posta elettronica nel portale del Centro notifiche. Selezionare l'icona a forma di campana per visualizzare gli avvisi del Centro notifiche.
  • Esaminare le sottoscrizioni di Azure. Determinare se l'attività nella sottoscrizione è legittima e prevista o se l'attività potrebbe essere dovuta a abusi o frodi non autorizzati.
  • Comunicaci cosa hai trovato, tramite il dashboard degli avvisi di sicurezza o dall'API. Per altre informazioni sull'uso dell'API, vedere Aggiornare lo stato degli eventi illeciti. Usare le categorie seguenti per descrivere gli elementi trovati:

Quali altri passaggi è possibile eseguire per ridurre il rischio di compromissione?

Cosa è necessario fare se una sottoscrizione di Azure è stata compromessa?

Intervenire immediatamente per proteggere l'account e i dati. Ecco alcuni suggerimenti e suggerimenti per rispondere rapidamente e contenere un potenziale evento imprevisto per ridurre l'impatto e il rischio aziendale complessivo.

La correzione delle identità compromesse in un ambiente cloud è fondamentale per garantire la sicurezza complessiva dei sistemi basati sul cloud. Le identità compromesse possono fornire agli utenti malintenzionati l'accesso a dati e risorse sensibili, rendendo essenziale intervenire immediatamente per proteggere l'account e i dati.

Dopo che gli attori malintenzionati sono stati rimossi, pulire le risorse compromesse. Tenere d'occhio la sottoscrizione interessata per assicurarsi che non ci siano ulteriori attività sospette. È anche consigliabile esaminare regolarmente i log e i audit trail per assicurarsi che l'account sia sicuro.

Impedire la compromissione dell'account è più semplice rispetto al ripristino da esso. È quindi importante rafforzare il comportamento di sicurezza.

  • Esaminare la quota per le sottoscrizioni di Azure dei clienti e inviare la richiesta per ridurre la quota inutilizzata. Per altre informazioni, vedere Ridurre la quota.
  • Esaminare e implementare le procedure consigliate per la sicurezza di Cloud Solution Provider.
  • Collaborare con i clienti per apprendere e implementare le procedure consigliate per la sicurezza dei clienti.
  • Assicurarsi che Defender per il cloud sia attivato (è disponibile un livello gratuito per questo servizio).
  • Assicurarsi che Defender per il cloud sia attivato (è disponibile un livello gratuito per questo servizio).

Per altre informazioni, vedere il supporto dell'articolo.

Altri strumenti per il monitoraggio

Come preparare i clienti finali

Microsoft invia notifiche alle sottoscrizioni di Azure, che passano ai clienti finali. Collaborare con il cliente finale per assicurarsi che possano agire in modo appropriato e ricevere avvisi relativi a vari problemi di sicurezza all'interno del proprio ambiente:

  • Configurare gli avvisi di utilizzo con Monitoraggio di Azure o Gestione costi di Azure.
  • Configurare gli avvisi di integrità dei servizi in modo che siano consapevoli di altre notifiche di Microsoft sulla sicurezza e altri problemi correlati.
  • Collaborare con l'amministratore tenant dell'organizzazione (se non gestito dal partner) per applicare misure di sicurezza maggiori nel tenant (vedere la sezione seguente).

Informazioni aggiuntive per la protezione del tenant

Se si sospetta un utilizzo non autorizzato della sottoscrizione di Azure o del cliente, contattare il supporto tecnico di Microsoft Azure in modo che Microsoft possa accelerare eventuali altre domande o dubbi.

In caso di domande specifiche relative al Centro per i partner, inviare una richiesta di supporto nel Centro per i partner. Per altre informazioni: Ottenere supporto nel Centro per i partner.

Controllare le notifiche di sicurezza nei log attività

  1. Accedere al Centro per i partner e selezionare l'icona delle impostazioni (ingranaggio) nell'angolo superiore destro, quindi selezionare l'area di lavoro Impostazioni account.
  2. Passare a Log attività nel pannello sinistro.
  3. Impostare le date Da e A nel filtro superiore.
  4. In Filtra per tipo di operazione selezionare Evento illecito di Azure rilevato. Dovrebbe essere possibile visualizzare tutti gli avvisi di sicurezza Rilevati per il periodo selezionato.

Perché i partner ricevono avvisi di sicurezza di Azure meno recenti?

Microsoft ha inviato avvisi di frode di Azure a partire da dicembre 2021. Tuttavia, in passato, la notifica di avviso era basata solo sulla preferenza di consenso esplicito, in cui i partner hanno dovuto acconsentire esplicitamente a ricevere notifica. Questo comportamento è stato modificato. I partner dovrebbero ora risolvere tutti gli avvisi illeciti (inclusi gli avvisi precedenti) aperti. Per proteggere il comportamento di sicurezza dei clienti e dei clienti, seguire le procedure consigliate per la sicurezza di Cloud Solution Provider.

Microsoft invia il riepilogo delle frodi giornaliere (ovvero il numero di partner, clienti e sottoscrizioni interessate) se è presente un avviso di frode non risolto attivo negli ultimi 60 giorni. Microsoft invia il riepilogo delle frodi giornaliere (ovvero il numero di partner, clienti e sottoscrizioni interessate) se è presente un avviso di frode non risolto attivo negli ultimi 60 giorni.

Perché non vengono visualizzati tutti gli avvisi?

Le notifiche degli avvisi di sicurezza sono limitate al rilevamento di modelli di determinate azioni anomale in Azure. Le notifiche degli avvisi di sicurezza non rilevano e non sono garantiti per rilevare tutti i comportamenti anomali. È fondamentale usare altri metodi di monitoraggio per rilevare l'utilizzo anomalo nelle sottoscrizioni di Azure del cliente, ad esempio i budget di spesa mensili di Azure. Se si riceve un avviso significativo e falso negativo, contattare il supporto per i partner e fornire le informazioni seguenti:

  • Partner Tenant ID
  • ID tenant del cliente
  • ID sottoscrizione
  • ID risorsa
  • Impatto sulle date di fine dell'inizio e dell'impatto