Partilhar via

Responda a eventos de segurança com o painel Alertas de Segurança

  • Artigo

Funções apropriadas: Admin Agent

Aplica-se a: parceiros de faturação direta do Partner Center e fornecedores indiretos

O painel Alertas de Segurança do Partner Center ajuda você a responder rapidamente a segurança, fraudes e outros eventos que ocorrem no Partner Center ou no locatário do seu cliente.

APIs

Se você tiver vários locatários do Microsoft Entra no Partner Center, poderá usar as seguintes APIs para obter e atualizar alertas em vez de usar o painel Alertas de segurança :

Pré-requisitos

Para usar o painel Alertas de Segurança do Partner Center, sua conta de usuário deve receber a função de Agente de Administrador.

Importância de uma resposta atempada aos alertas

Quando um alerta é criado em seu painel, é fundamental que você faça a triagem e mitigue o incidente que causou o alerta o mais rápido possível. Como princípio orientador, recomendamos que responda aos alertas no prazo de uma hora. Para o tipo de alertas de fraude , quanto mais tempo você demorar para responder e mitigar o incidente que causou o alerta, maior será o impacto financeiro potencial.

Abrir o painel

Para abrir o painel Alertas de Segurança do Partner Center:

  1. Entre no Partner Center como um usuário que tem a função de Agente Administrativo.
  2. Selecione o espaço de trabalho Insights .
  3. No menu à esquerda, em Segurança, selecione Alertas.

Você também pode usar este link para ir diretamente para o painel.

Visualizar alertas

O painel mostra informações sobre as seguintes categorias de alerta.

Captura de ecrã que mostra o painel Alertas de Segurança do Partner Center, incluindo o tempo médio de resposta, novos eventos esta semana, resolvidos e não resolvidos.

  • Tempo médio: o tempo médio para responder e resolver alertas nos últimos 30 dias.
  • Novos eventos esta semana: O número de novos alertas nos últimos sete dias.
  • Resolvido: o número de alertas que são resolvidos com um motivo especificado (por exemplo, Legítimo ou Fraude).
  • Não resolvido: o número de alertas não resolvidos que precisam de atenção.

A seção inferior do painel lista alertas que afetam o locatário do Partner Center onde você está conectado.

Captura de ecrã que mostra o painel Alertas de Segurança e as ações que pode tomar, incluindo Cancelar subscrição e Exportar.

A tabela tem estas colunas:

  • Nome do alerta: informações de alto nível sobre o que foi detetado.
  • ID da assinatura: um identificador que aparece quando um alerta é detetado em uma assinatura específica do Azure.
  • ID do alerta: o identificador exclusivo do alerta.
  • Status do alerta: o status do alerta (Ativo ou Resolvido).
  • Primeiro observado: A primeira vez que o alerta apareceu.
  • Última observação: A última vez que o alerta apareceu.
  • Tipo de alerta: o tipo de atividade que foi detetada e que causou o alerta. Existem dois tipos de alerta:
    • Notificação do Azure: indica que uma mensagem foi enviada ao cliente da assinatura do Azure afetada e exibida como uma notificação de Integridade do Serviço. Uma cópia desta mensagem aparece nos detalhes do alerta.
    • Uso do Azure: indica um aumento incomum na atividade na assinatura do Azure ou uma atividade anômala que ocorre na assinatura, como a mineração de criptomoedas.
  • Gravidade: O nível de urgência na resposta ao alerta.

Você pode usar a opção Filtro para alterar quais alertas aparecem no painel Alerta .

Você pode usar o recurso Pesquisar para pesquisar todos os alertas para as informações inseridas na caixa. Os resultados da pesquisa incluem as seguintes informações:

  • ID da Subscrição
  • ID do alerta
  • Nome do cliente

Ações na página de detalhes do alerta

Para exibir mais detalhes sobre um alerta, selecione o nome do alerta. Por exemplo, o alerta de exemplo a seguir mostra o comportamento relacionado à mineração de criptomoedas que ocorre em uma assinatura do Azure.

Captura de tela que mostra detalhes de alerta relacionados à mineração de criptomoedas.

Secção superior

A parte superior da página de detalhes do alerta mostra informações sobre clientes e revendedores (se aplicável).

Descrição do alerta

A seção Descrição do alerta fornece uma visão geral do motivo pelo qual o alerta ocorreu, juntamente com as etapas a serem investigadas.

Recursos afetados

A seção Recursos impactados contém duas ações:

  • Marcar como legítimo: você investigou os recursos e não encontrou nenhuma evidência do que o alerta indicou ou verificou com o cliente que o comportamento é esperado.
  • Marcar como fraude: você investigou os recursos e descobriu que eles estavam executando o comportamento que o alerta indicava.

Quando concluir a investigação do alerta, selecione uma ação para informar ao Partner Center o que descobriu. A seleção de uma ação marca o alerta Resolvido. A ação selecionada indica o motivo (ou seja, o valor Motivo ) pelo qual você está resolvendo o alerta.

Informações de recursos

A seção Informações do recurso fornece detalhes sobre os recursos envolvidos na deteção que causou o alerta. Neste exemplo, há uma máquina virtual chamada badvmtest no grupo de recursos chamado testserver. Os valores Hora da primeira conexão e Hora da última conexão indicam quando detetamos esse recurso pela primeira vez entrando em contato com um pool de mineração conhecido e a hora mais recente em que o observamos.

Informações adicionais

A seção Informações adicionais fornece detalhes sobre o comportamento que o recurso exibe, se houver algum disponível. Neste exemplo, a máquina virtual badvmtest se comunicou com o endereço IP de um pool de mineração conhecido. A seção Informações do recurso mostra que ele se conectou ao endereço IP quatro vezes entre a hora da primeira conexão e a hora da última conexão.

Recursos

Na seção Recursos, use os links para saber mais sobre alertas e o que fazer quando receber um alerta.

Secção inferior

A parte inferior da página de detalhes do alerta mostra três botões para ações que você pode tomar.

Captura de ecrã que mostra a parte inferior de um alerta de segurança, com opções para cancelar uma subscrição, gerir uma subscrição ou voltar a alertas.

  • Cancelar assinatura: você deve ter as funções de Administrador Global e Agente de Administração para usar esta ação. Se sua investigação sobre o alerta indicar que uma parte não autorizada ultrapassou a assinatura do Azure, você poderá selecionar Cancelar assinatura para desalocar todos os recursos na assinatura do Azure e marcar todos os dados na assinatura para exclusão após o período de retenção.

    Antes de tomar esta ação, recomendamos que comunique com o seu cliente sobre o alerta e (se possível) obtenha o consentimento do mesmo para cancelar a subscrição. Quando seleciona o botão, é apresentada uma caixa de diálogo que lhe pede para confirmar que compreende o impacto desta ação.

    Captura de tela que mostra a caixa de diálogo para cancelar uma assinatura, com opções para voltar e continuar com o cancelamento.

    Para cancelar a assinatura do Azure, selecione Continuar com cancelamento. Quando você seleciona Continuar com cancelamento, a assinatura é cancelada e todos os alertas para essa assinatura são marcados como Resolvidos com o motivo Fraude.

    Para obter mais informações, consulte Cancelar uma assinatura do Azure.

  • Gerenciar assinatura: essa ação leva você ao portal do Azure usando Admin em Nome de (AOBO). Com base no nível de acesso que o cliente lhe concedeu, poderá investigar melhor os recursos indicados nos detalhes do alerta. Para obter mais informações, consulte Gerenciar assinaturas e recursos no plano do Azure.

  • Voltar aos alertas: esta ação retorna ao painel Alertas de segurança com a lista de alertas.

Ações no painel Alertas de Segurança

Acima da lista de alertas no painel Alertas de segurança estão duas ações que você pode tomar.

Captura de ecrã que mostra o painel Alertas de Segurança e as opções para cancelar uma subscrição e exportar informações.

  • Cancelar assinatura: você deve ter as funções de Administrador Global e Agente de Administração para usar esta ação. Se sua investigação sobre o alerta indicar que uma parte não autorizada ultrapassou a assinatura do Azure, você poderá selecionar Cancelar assinatura para desalocar todos os recursos na assinatura do Azure e marcar todos os dados na assinatura para exclusão após o período de retenção.

    Antes de tomar esta ação, recomendamos que comunique com o seu cliente sobre o alerta e (se possível) obtenha o consentimento do mesmo para cancelar a subscrição. Quando seleciona o botão, é apresentada uma caixa de diálogo que lhe pede para confirmar que compreende o impacto desta ação.

    Para cancelar a assinatura do Azure, selecione Continuar com cancelamento.

    Captura de ecrã que mostra a caixa de diálogo de confirmação para cancelar uma subscrição.

  • Exportar: se quiser exportar todas as informações detalhadas sobre os alertas, você pode usar a ação Exportar para baixar um arquivo CSV (valores separados por vírgula) que contém as informações do alerta.

    Essa ação produz um arquivo CSV com apenas os alertas que você está visualizando no momento. Para ajustar os alertas que deseja exportar, use a opção Filtrar .

Conteúdos relacionados