Azure Fraud: Tableau de bord des alertes de sécurité - Disponibilité générale et comment l'utiliser

Les détections sont basées sur une série d’anomalies liées aux activités ARM, à la facturation de la consommation du compteur, aux signaux de risque d’identité, au minage de cryptomonnaie et aux demandes d’augmentation de quota.

Principaux avantages :

• Détections quasi en temps réel
• Possibilité de visualiser de nouvelles alertes basées sur l’utilisation et les activités réseau
• Les partenaires peuvent enquêter rapidement sur la fraude Azure et la prévenir

Quelles mesures doivent être prises ?

Les partenaires doivent réagir rapidement aux cas de fraude, les surveiller et prendre des mesures pour arrêter immédiatement la fraude chez tous les clients.

S’abonner aux alertes de sécurité

Selon votre rôle, vous pouvez vous abonner à différentes notifications partenaires. Les alertes de sécurité vous informent lorsque l’abonnement Azure de votre client présente des activités potentiellement anormales.

1. Connectez-vous au Centre des partenaires et sélectionnez Notifications (cloche)
2. Choisissez Mes préférences
3. Définissez une adresse e-mail préférée, si ce n’est pas déjà fait
4. Définissez la langue préférée pour les notifications, si ce n’est pas déjà fait
5. Cliquez sur Modifier à côté de Paramètres de notification par e-mail
6. Cochez toutes les cases liées aux clients dans la colonne Espace de travail (pour vous désabonner, décochez la section “Transactions” sous “Espace de travail des clients”)
7. Cliquez sur Enregistrer

Microsoft envoie des alertes de sécurité lorsque nous détectons des activités d’alerte de sécurité potentielles ou des abus dans certains des abonnements Microsoft Azure de vos clients. Il existe trois types de courriels :

• Résumé quotidien des alertes de sécurité non résolues (nombre de partenaires, de clients et d’abonnements affectés par différents types d’alertes)
• Alertes de sécurité presque en temps réel. Pour obtenir une liste des abonnements Azure présentant des problèmes de sécurité potentiels, consultez Recevoir des événements de fraude.
• Notifications de conseils de sécurité presque en temps réel. Ces notifications fournissent un aperçu des notifications envoyées aux clients lorsqu’une alerte de sécurité est déclenchée.

Afficher et réagir aux alertes via le tableau de bord des alertes de sécurité

Le tableau de bord des alertes de sécurité du Centre des partenaires aide les partenaires à réagir rapidement aux événements de sécurité, de fraude et autres événements se produisant dans leur Centre des partenaires ou dans l’environnement de leur locataire client.
Voici comment accéder au tableau de bord des alertes de sécurité du Centre des partenaires :

1. Connectez-vous au Centre des partenaires en tant qu’utilisateur disposant du rôle d’administrateur
2. Sélectionnez l’espace de travail Statistiques
3. Dans le menu de navigation de gauche, sous Sécurité, choisissez Alertes

L’importance d’une réaction rapide aux alertes

Lorsqu’une alerte est créée dans votre tableau de bord, il est important d’évaluer et de résoudre rapidement l’incident à l’origine de l’alerte. En général, nous recommandons de réagir aux alarmes dans l’heure qui suit. En ce qui concerne les rapports de fraude, plus il faut de temps pour réagir à l’incident à l’origine du rapport et le résoudre, plus les dommages financiers qui en résultent peuvent être importants.

Affichage des alarmes

La page Alertes affiche les informations suivantes :

• Délai moyen de réaction : la durée nécessaire pour résoudre une alerte
• Nouvelles alertes de la semaine – Nombre de nouvelles alertes au cours des sept derniers jours
• Résolues – Nombre d’alertes résolues avec une justification (par exemple, légitimité ou fraude)
• Actives et en cours de traitement – Nombre d’alertes non résolues nécessitant encore une attention

La section inférieure de la page des alertes affiche les alertes concernant le locataire du Centre des partenaires auquel vous êtes connecté.

• Nom de l’alerte – Ce nom indique ce qui a été détecté.
• ID de l’abonnement – Cette identifiant s’affiche lorsque une alarme est détectée dans un abonnement Azure spécifique.
• ID de l’alarme – L’identifiant unique de l’alarme.
• État de l’alarme – L’état de l’alarme (Active ou Résolue).
• Première observation – La première fois que l’alerte a été affichée.
• Dernière observation – La dernière fois que l’alerte a été affichée.
• Type d’alarme – Le type d’activité qui a été détectée et a déclenché l’alarme. Il existe deux types d’alarme :
  • Notifications Azure – Cette alerte indique qu’un message a été envoyé au client de l’abonnement Azure concerné et s’affiche en tant que notification de Service Health. Une copie de ce message est affichée dans les détails de l’alarme.
  • Utilisation Azure – Cette alerte indique soit une augmentation inhabituelle de l’activité dans l’abonnement Azure, soit une activité anormale dans l’abonnement, telle que le minage de cryptomonnaie.
• Gravité – Indique le degré d’urgence qui doit être respecté lors de la réaction à l’alerte.

Avec l’option Filtre, vous pouvez modifier les alertes affichées sur la page des alertes.

Avec la fonction de recherche, vous pouvez rechercher toutes les alertes en fonction des informations que vous entrez dans la barre de recherche. Les champs suivants sont recherchés :

• ID de l’abonnement
• ID de l’alerte
• Nom du client

Vous pouvez également sélectionner les colonnes que vous souhaitez afficher sur le tableau de bord et exporter les données.

Actions on the Alert Detail Page

Example of an alert detail page:
To view further details of an alert, select the name of the alert. The following example alert, for instance, showcases the behavior related to cryptocurrency mining in an Azure subscription.

At the top of the alert detail page, customer information and the reseller (if applicable) are displayed.

The alert description provides an overview of the reasons for the alert occurrence and the steps to investigate.

The “Affected Resources” section displays the following information:

• Resource Information – Details about the resources involved in the detection that triggered the alert. In this example, there is a virtual machine named “badvmtest” in the resource group “testserver”. The first connection time and last connection time indicate when this resource first made contact with a known mining pool and when it was last observed.
• Additional Information – If there are details available about the behavior of the resource, they will be displayed here. In this example, the virtual machine “badvmtest” communicated with the IP address of a known mining pool. The section containing resource information shows that it connected to the IP address four times between the first connection time and the last connection time.
• Action Bar – Once you have completed the investigation of the alert, select an action to inform the Partner Center about what you have discovered. When you select an action, the alert will be marked as resolved. The action you choose indicates the reason for resolving the alert. The following options are available:
  • Mark as Legitimate – You have investigated the resources and either found no evidence of what the alert suggests or consulted with the customer, who indicates that the behavior is expected.
  • Mark as Fraudulent – You have investigated the resources and determined that they exhibit the behavior indicated by the alert.
• Resources – Use the links in this section of the alert to learn more about alerts and what to do when you receive one.

• Ressourcen – Pour en savoir plus sur les alertes et sur ce qu’il convient de faire lorsque vous en recevez une.

Sélectionnez une alerte pour ouvrir la page de détails de l’alerte.

Actions sur la page de détails de l’alerte

Exemple de page de détails d’une alerte :

Auf la page d’exemple “Détails de l’alerte”, trois actions vous sont proposées.

• Résilier l’abonnement – Vous devez avoir à la fois le rôle de Global Administrator et le rôle d’Admin Agent pour pouvoir effectuer cette action. Si votre enquête sur l’alerte suggère que l’abonnement Azure a été compromis par une partie non autorisée, vous pouvez sélectionner “Résilier l’abonnement” pour libérer toutes les ressources de l’abonnement Azure et marquer toutes les données de l’abonnement pour suppression après la période de rétention. Avant d’effectuer cette action, nous vous recommandons de communiquer avec votre client au sujet de l’alerte et, si possible, d’obtenir son accord pour la résiliation de l’abonnement. Lorsque vous sélectionnez ce bouton, la page de confirmation suivante s’affiche pour vous assurer que vous comprenez les conséquences de cette action. Sélectionnez Continuer avec la résiliation pour résilier l’abonnement Azure. Si vous choisissez Continuer avec la résiliation, l’abonnement sera résilié et toutes les alertes pour cet abonnement seront marquées comme résolues avec la raison Fraude.

• Pour plus d’informations, veuillez consulter Annuler un abonnement Azure.
• Gérer l’abonnement – L’action Gérer l’abonnement vous conduit au portail de gestion Azure via Admin on Behalf of. Selon le niveau d’accès accordé par le client, vous pouvez examiner plus en détail les ressources indiquées dans le message d’avertissement. Pour plus d’informations, consultez Gérer les abonnements et les ressources dans le cadre du plan Azure.
• Retour aux alertes – Retourne à la page principale du tableau de bord des alertes avec la liste des alertes.

Actions sur la page Alert

Au-dessus de la liste des alarmes sur la page “Alert“, vous pouvez effectuer deux actions.

• Résilier l’abonnement – Vous devez avoir à la fois le rôle de Global Admin et le rôle de Admin Agent pour pouvoir utiliser cette action. Si votre enquête sur l’alerte révèle que l’abonnement Azure a été repris par une partie non autorisée, vous pouvez choisir de résilier l’abonnement pour libérer toutes les ressources de l’abonnement Azure et marquer toutes les données de l’abonnement pour suppression après la période de rétention. Avant d’effectuer cette action, nous vous recommandons de communiquer avec votre client au sujet de l’alerte et, si possible, d’obtenir son consentement pour résilier l’abonnement. Après avoir sélectionné ce bouton, la page de confirmation suivante s’affiche pour vous assurer que vous comprenez les conséquences de cette action. Sélectionnez Continuer avec la résiliation pour résilier l’abonnement Azure.

Exporter – Si vous souhaitez exporter toutes les informations détaillées sur les alertes, vous pouvez utiliser l’action Exporter pour télécharger un fichier CSV (valeurs séparées par des virgules) contenant les informations sur les alertes. Remarque : lors de l’exportation, un fichier CSV est créé contenant uniquement les alertes actuellement affichées. Modifiez l’option Filtre pour afficher les alertes à exporter.

Vous pouvez filtrer par type d’alerte tel que l’extraction de crypto-monnaie, sélectionner plusieurs alertes et les marquer comme résolues si nécessaire.

Que faire en cas de compromission d’un abonnement Azure ?

Prenez des mesures immédiates pour protéger votre compte et vos données. Voici quelques suggestions et conseils sur la manière de réagir rapidement et de contenir un incident potentiel afin de réduire ses impacts et les risques commerciaux généraux.
Élimination des identités compromises : il est essentiel d’assurer la sécurité globale des systèmes basés sur le cloud en éliminant les identités compromises. Les identités compromises peuvent donner aux attaquants un accès à des données sensibles et à des ressources, c’est pourquoi des mesures immédiates doivent être prises pour protéger le compte et les données.

• Modifiez immédiatement les informations d’identification pour :
  • Les administrateurs de locataire et l’accès basé sur les rôles (RBAC) aux abonnements Azure. Qu’est-ce que l’accès basé sur les rôles Azure (Azure RBAC) ?
  • Suivez les recommandations de politique de mot de passe. Recommandations de politique de mot de passe
  • Assurez-vous que tous les administrateurs de locataire et les propriétaires RBAC sont enregistrés et ont activé l’authentification multifacteur (MFA). Enregistrement et activation de l’authentification multifacteur (MFA)
• Vérifiez tous les e-mails et numéros de téléphone utilisés pour la récupération des mots de passe des administrateurs globaux dans Azure Active Directory et vérifiez-les. Mettez-les à jour si nécessaire. Recommandations de politique de mot de passe
• Vérifiez les utilisateurs, les locataires et les abonnements à risque dans le portail Azure.
  • Évaluez le risque en accédant à Azure Active Directory et en examinant les rapports de risque de la fonctionnalité Protection de l’identité. Investigation du risque avec Azure AD Identity Protection
  • Exigences en matière de licence pour la protection de l’identité
  • Correction des risques et déblocage des utilisateurs
  • Expérience utilisateur avec Azure AD Identity Protection
• Consultez les journaux de connexion Azure Active Directory du locataire client pour détecter des schémas de connexion inhabituels autour du moment où l’alerte de sécurité a été déclenchée.

Une fois les acteurs malveillants éliminés, nettoyez les ressources compromises. Surveillez attentivement l’abonnement concerné pour vous assurer qu’aucune autre activité suspecte n’a lieu. Il est également recommandé de vérifier régulièrement vos journaux et vos pistes de vérification pour assurer la sécurité de votre compte.

• Consultez le journal d’activité Azure pour détecter des activités non autorisées, telles que des modifications de facturation, une utilisation d’éléments de consommation commerciale non facturés ou des configurations.
• Vérifiez les anomalies de dépenses en fonction du budget de dépenses du client dans la gestion des coûts Azure.
• Désactivez ou supprimez toutes les ressources compromises :
  • Identifiez l’acteur de la menace et supprimez-le en utilisant les ressources de sécurité Microsoft et Azure pour vous remettre d’une compromission d’identité systémique. Ressources de récupération d’une compromission d’identité
  • Vérifiez le journal d’activité Azure pour les modifications au niveau de l’abonnement.
  • Désallouez et supprimez toutes les ressources créées par une partie non autorisée. Découvrez comment maintenir propre votre abonnement Azure | Astuces et conseils Azure (vidéo en anglais)
  • Vous pouvez résilier les abonnements Azure de vos clients via cette API ou via le portail du Centre partenaires.
  • Contactez immédiatement le support Azure et signalez l’incident.
  • Nettoyez le stockage après l’incident : Rechercher et supprimer des disques Azure gérés et non gérés non rattachés – Machines virtuelles Azure

Il est plus facile de prévenir une compromission de compte que de s’en remettre. C’est pourquoi il est important de renforcer vos mesures de sécurité.

• Vérifiez le quota des abonnements Azure du client et demandez à réduire le quota inutilisé. Pour en savoir plus, consultez Réduire le quota.
• Consultez et mettez en œuvre les meilleures pratiques de sécurité pour les fournisseurs de solutions cloud.
• Collaborez avec vos clients pour apprendre et mettre en œuvre les meilleures pratiques de sécurité des clients.
• Assurez-vous que Defender for Cloud est activé (ce service dispose d’un niveau gratuit).