Compartilhar via

Responda a eventos de segurança com o painel Alertas de Segurança

  • Artigo

Funções apropriadas: Agente administrativo

Aplica-se a: Fatura Direta do Partner Center e Provedores Indiretos

O painel Alertas de Segurança do Partner Center ajuda os parceiros a responder rapidamente a eventos de segurança, fraude e outros eventos que ocorrem no Partner Center ou no locatário do cliente.

API

Para parceiros que têm vários locatários do Microsoft Entra do Partner Center, você pode usar as seguintes APIs para obter e atualizar alertas em vez de usar o painel Alertas:

Pré-requisitos

Para usar o painel Alertas de Segurança do Partner Center, sua conta de usuário deve receber a função Agente administrador.

A importância da resposta atempada aos alertas

Quando um alerta é criado em seu painel, é fundamental que você faça a triagem e mitigue o incidente que causou o alerta o mais rápido possível. Como princípio orientador, recomendamos responder aos alertas dentro de uma hora. Para alertas do tipo Fraude , quanto mais tempo você levar para responder e mitigar o incidente que causou o alerta, maior será o impacto financeiro.

Para acessar o painel Alertas de Segurança do Partner Center:

  1. Faça logon no Partner Center com um usuário com a função de agente administrador.
  2. Selecione o espaço de trabalho Insights .
  3. No menu de navegação à esquerda, em Segurança, selecione Alertas.

Exibindo alertas

A página Alertas mostra o seguinte:

  • Novos alertas esta semana - Número de novos alertas nos últimos sete dias.
  • Resolvido - Número de alertas resolvidos com um motivo especificado (por exemplo, Legítimo ou Fraude).
  • Ativo e em andamento - Número de alertas não resolvidos que precisam de atenção.

Captura de tela mostrando a tela Alertas do Partner Center, incluindo tempo médio de resposta, novos alertas esta semana, resolvidos e Ativos e Em Andamento.

A seção inferior da página de alerta lista alertas que afetam o locatário do Partner Center no qual você está conectado.

Captura de tela mostrando a página Alertas e as ações que você pode executar, incluindo Cancelar assinatura e Exportar.

  • Nome do alerta - Esse nome mostra informações de alto nível sobre o que foi detectado.
  • ID da assinatura – esse identificador é mostrado quando um alerta é detectado em uma assinatura específica do Azure.
  • ID do alerta - O identificador exclusivo do alerta.
  • Status do alerta - O status do alerta (Ativo ou Resolvido).
  • Observado pela primeira vez - A primeira vez que o alerta foi exibido.
  • Última observação - A hora mais recente em que o alerta foi exibido.
  • Tipo de alerta - O tipo de atividade que foi detectada e causou o alerta. Há dois tipos de alerta:
    • Notificações do Azure – esse alerta indica que uma mensagem foi enviada ao cliente da assinatura do Azure afetada e exibida como uma notificação de Integridade do Serviço. Uma cópia dessa mensagem é mostrada nos detalhes do alerta.
    • Uso do Azure – esse alerta indica um aumento incomum na atividade na assinatura do Azure ou uma atividade anômala que ocorre na assinatura, por exemplo, mineração de criptomoedas.
  • Gravidade - Indica o nível de urgência que deve ser tomado ao responder ao alerta.

A opção Filtro permite que você altere quais alertas são exibidos na página Alerta.

A pesquisa permite que você pesquise em todos os alertas as informações inseridas no campo de pesquisa e abre a página Alerta . Os seguintes campos são pesquisados:

  • ID da assinatura
  • ID do alerta
  • Nome do cliente

Ações na página de detalhes do alerta

Exemplo da página de detalhes do alerta:

Para ver mais detalhes sobre um alerta, selecione o nome do alerta. Por exemplo, o alerta de exemplo a seguir mostra o comportamento relacionado à mineração de criptomoeda que ocorre em uma assinatura do Azure.

Captura de tela mostrando detalhes de alerta relacionados à mineração de criptomoedas.

Na parte superior da página de detalhes do alerta, as informações do cliente e do revendedor (se aplicável) são exibidas.

A descrição do alerta fornece uma visão geral do motivo pelo qual o alerta ocorreu, juntamente com as etapas a serem investigadas.

A seção Recursos afetados mostra as seguintes informações:

  • Informações de recursos – detalhes sobre os recursos envolvidos na detecção que causou o alerta. Neste exemplo, há uma máquina virtual chamada "badvmtest" no grupo de recursos "testserver". A hora da primeira conexão e a hora da última conexão indicam quando detectamos pela primeira vez esse recurso entrando em contato com um pool de mineração conhecido e a hora mais recente em que ele foi observado.

  • Informações adicionais – se houver detalhes disponíveis sobre o comportamento exibido pelo recurso, eles serão mostrados aqui. Neste exemplo, a máquina virtual "badvmtest" se comunicou com o endereço IP de um pool de mineração conhecido. A seção Informações do recurso mostra que ele se conectou ao endereço IP quatro vezes entre a hora da primeira conexão e a hora da última conexão.

  • Barra de ações – ao concluir sua investigação no alerta, selecione uma ação para informar ao Partner Center o que você descobriu. A seleção de uma ação marca o alerta como Resolvido. A ação selecionada indica o motivo pelo qual você está resolvendo o alerta. As opções fornecidas são:

    • Marcar como legítimo - Você investigou os recursos e não encontrou nenhuma evidência do que o alerta indicava ou, ao verificar com o cliente, eles indicam que o comportamento é esperado.
    • Marcar como fraude - Você investigou os recursos e descobriu que eles estavam executando o comportamento indicado pelo alerta.

  • Recursos - Use os links nesta seção do alerta para saber mais sobre alertas e o que fazer quando você receber um alerta.

    Captura de tela mostrando um exemplo de um alerta, em que as opções incluem Marcar como legítimo ou Marcar como fraude.

  • Recursos - Saiba mais sobre alertas e o que fazer quando você receber um alerta.

Selecione um alerta para abrir a página Detalhes do alerta .

Ações na página Detalhes do Alerta

Exemplo da página de detalhes do alerta:

Captura de tela mostrando a parte inferior de um alerta de segurança, com opções para Cancelar assinatura, gerenciar assinatura ou Voltar aos alertas.

A página de exemplo Detalhes do Alerta mostra três ações que você pode executar.

  • Cancelar assinatura - Você deve ter as funções de Administrador Global e Agente Administrador para usar essa ação. Se a investigação do alerta indicar que a assinatura do Azure foi ultrapassada por uma parte não autorizada, você poderá selecionar Cancelar assinatura para desalocar todos os recursos na assinatura do Azure e marcar todos os dados na assinatura para exclusão após o período de retenção. Antes de tomar essa ação, recomendamos que você se comunique com o cliente sobre o alerta e, se possível, obtenha o consentimento dele para cancelar a assinatura. Ao selecionar esse botão, você verá a seguinte página de confirmação para garantir que você entenda o impacto dessa ação. Selecione Continuar com o cancelamento para cancelar a assinatura do Azure. Quando você seleciona Continuar com o cancelamento, a assinatura é cancelada e todos os alertas dessa assinatura são marcados como Resolvidos com o motivo Fraude.

    Captura de tela mostrando a caixa de diálogo Cancelar assinatura, com opções: Voltar e Continuar com o cancelamento.

    Para obter mais informações, consulte Cancelar uma assinatura do Azure.

  • Gerenciar assinatura – a ação Gerenciar assinatura leva você ao portal de Gerenciamento do Azure usando Admin em nome de. Com base no nível de acesso concedido a você pelo cliente, você poderá investigar mais detalhadamente os recursos indicados no Detalhe do alerta. Para obter mais informações, consulte Gerenciar assinaturas e recursos no plano do Azure.

  • Voltar aos alertas - Retorna à página principal do Painel de Alertas com a lista de alertas.

Ações na página Alerta

Acima da lista de alertas na página Alerta , há duas ações que você pode executar.

Captura de tela mostrando a página Alertas e as ações que você pode executar, incluindo Cancelar assinatura e Exportar.

  • Cancelar assinatura - Você deve ter as funções de Administrador Global e Agente Administrador para usar essa ação. Se a investigação do alerta indicar que a assinatura do Azure foi ultrapassada por uma parte não autorizada, você poderá selecionar Cancelar assinatura para desalocar todos os recursos na assinatura do Azure e marcar todos os dados na assinatura para exclusão após o período de retenção. Antes de tomar essa ação, recomendamos que você se comunique com o cliente sobre o alerta e, se possível, obtenha o consentimento dele para cancelar a assinatura. Depois de selecionar esse botão, você verá a seguinte página de confirmação para ajudar a garantir que você entenda o impacto dessa ação. Selecione Continuar com o cancelamento para cancelar a assinatura do Azure.

    Captura de tela mostrando a página Cancelar assinatura, com opções para Voltar ou Continuar com Cancelamento.

  • Exportar - Se você deseja exportar todas as informações detalhadas sobre os alertas, pode usar a ação Exportar para baixar um arquivo CSV (valor separado por vírgula) contendo as informações do alerta. Observação: a exportação produz um arquivo CSV apenas com os alertas que estão sendo visualizados no momento. Ajuste a opção Filtro para exibir o alerta que deseja exportar.

Conteúdo relacionado

Detecção e notificação de fraude do Azure