Die Erkennungen basieren auf einer Reihe von Anomalien in Bezug auf ARM-Aktivitäten, Abrechnung des Zählerverbrauchs, Identitätsrisikosignale, Krypto-Mining und Anträge auf Quotenerhöhung.
Hauptvorteile:
- Erkennungen nahezu in Echtzeit
- Möglichkeit, neue Warnungen auf der Grundlage von Nutzung und netzwerkbasierten Aktivitäten zu sehen
- Partner können Azure-Betrug schnell untersuchen und verhindern
Welche Massnahmen müssen ergriffen werden?
Die Partner müssen den Betrugsfall rasch aufgreifen und überwachen und Massnahmen ergreifen, um den Betrug bei allen Kunden sofort zu stoppen.
Sicherheitswarnungen abonnieren
Sie können je nach Ihrer Rolle verschiedene Partnerbenachrichtigungen abonnieren. Sicherheitswarnungen benachrichtigen Sie, wenn das Azure-Abonnement Ihres Kunden mögliche anomale Aktivitäten aufweist.
- Melden Sie sich beim Partner Center an und wählen Sie Benachrichtigungen (Glocke)
- Wählen Sie Meine Einstellungen
- Legen Sie eine bevorzugte E-Mail-Adresse fest, falls Sie dies nicht bereits getan haben
- Legen Sie die bevorzugte Sprache für die Benachrichtigung fest, falls Sie dies noch nicht getan haben
- Wählen Sie Bearbeiten neben E-Mail-Benachrichtigungseinstellungen
- Markieren Sie alle Kästchen, die sich auf Kunden in der Spalte Arbeitsbereich beziehen. (Um sich abzumelden, heben Sie die Markierung des Abschnitts «Transaktionen» unter «Kundenarbeitsbereich» auf)
- Wählen Sie Speichern
Microsoft sendet Sicherheitswarnungen, wenn wir mögliche Sicherheitswarnungsaktivitäten oder Missbrauch in einigen der Microsoft Azure-Abonnements Ihrer Kunden feststellen. Es gibt drei Arten von E-Mails:
- Tägliche Zusammenfassung der ungelösten Sicherheitswarnungen (Anzahl der Partner, Kunden und Abonnements, die von verschiedenen Warntypen betroffen sind)
- Sicherheitswarnungen fast in Echtzeit. Um eine Liste von Azure-Abonnements zu erhalten, die potenzielle Sicherheitsprobleme aufweisen, siehe Betrugsereignisse erhalten.
- Beinahe-Echtzeit-Sicherheitsberatungsbenachrichtigungen. Diese Benachrichtigungen bieten einen Einblick in die Benachrichtigungen, die an den Kunden gesendet werden, wenn eine Sicherheitswarnung vorliegt.
Anzeigen und Reagieren auf Warnungen über das Security Alerts Dashboard
Das Partner Center Security Alerts Dashboard hilft Partnern, schnell auf Sicherheits-, Betrugs- und andere Ereignisse zu reagieren, die in ihrem Partner Center oder im Tenant ihres Kunden auftreten.
So greifen Sie auf das Partner Center Security Alerts Dashboard zu:
- Melden Sie sich im Partner Center mit einem Benutzer mit der Benutzerrolle Admin an
- Wählen Sie den Arbeitsbereich Einblicke
- Wählen Sie im linken Navigationsmenü unter Sicherheit die Option Alerts
Die Bedeutung einer rechtzeitigen Reaktion auf Alerts
Wenn ein Alert in Ihrem Dashboard erstellt wird, ist es wichtig, dass Sie den Vorfall, der den Alert verursacht hat, so schnell wie möglich einordnen und entschärfen. Grundsätzlich empfehlen wir, auf Alarme innerhalb einer Stunde zu reagieren. Bei Betrugsmeldungen gilt: Je länger es dauert, bis Sie auf den Vorfall, der die Meldung ausgelöst hat, reagieren und ihn entschärfen, desto größer ist der finanzielle Schaden, der dadurch entstehen kann.
Anzeigen von Alarmen
Auf der Seite Alerts wird Folgendes angezeigt:
- Durchschnittliche Reaktionszeit: wie lange wir für die Behebung einer Warnung benötigen
- Neue Warnmeldungen in dieser Woche – Anzahl der neuen Warnmeldungen in den letzten sieben Tagen
- Erledigt – Anzahl der Warnungen, die unter Angabe eines Grundes (z. B. Rechtmässigkeit oder Betrug) erledigt wurden
- Aktiv und in Bearbeitung – Anzahl der nicht behobenen Warnungen, die noch bearbeitet werden müssen
Der untere Abschnitt der Warnmeldungsseite listet Warnmeldungen auf, die den Partner Center-Tenant betreffen, bei dem Sie angemeldet sind.
- Alert-Name – Dieser Name gibt Aufschluss darüber, was erkannt wurde
- Abonnement-ID – Diese Kennung wird angezeigt, wenn ein Alarm in einem bestimmten Azure-Abonnement erkannt wird.
- Alarm-ID – Der eindeutige Bezeichner für den Alarm.
- Alarmstatus – Der Status des Alarms (Aktiv oder Gelöst).
- Erstmals beobachtet – Das erste Mal, dass die Warnung angezeigt wurde.
- Zuletzt beobachtet – Das letzte Mal, dass die Warnung angezeigt wurde.
- Alarmtyp – Die Art der Aktivität, die erkannt wurde und den Alarm ausgelöst hat. Es gibt zwei Alarmtypen:
- Azure-Benachrichtigungen – Diese Warnung zeigt an, dass eine Nachricht an den Kunden des betroffenen Azure-Abonnements gesendet und als Service Health-Benachrichtigung angezeigt wurde. Eine Kopie dieser Nachricht wird in den Alarmdetails angezeigt.
- Azure Usage – Diese Warnung weist entweder auf eine ungewöhnliche Zunahme der Aktivität in der Azure-Subskription oder auf eine anomale Aktivität in der Subskription hin, z. B. Kryptowährungs-Mining.
- Schweregrad – Gibt den Dringlichkeitsgrad an, der bei der Reaktion auf die Warnung eingehalten werden sollte.
Mit der Option Filter können Sie ändern, welche Alarme auf der Seite Alert angezeigt werden.
Mit der Suchfunktion können Sie alle Warnmeldungen nach den Informationen durchsuchen, die Sie in das Suchfeld eingeben. Die folgenden Felder werden durchsucht:
- Abonnement-ID
- Warnmeldungs-ID
- Kundenname
Sie können auch die Spalten auswählen, die Sie auf dem Dashboard sehen möchten, und die Daten exportieren.
Aktionen auf der Alert-Detailseite
Beispiel für die Detailseite eines Alarms:
Um weitere Details zu einer Warnung anzuzeigen, wählen Sie den Namen der Warnung aus. Der folgende Beispielalarm zeigt beispielsweise das Verhalten in Bezug auf das Mining von Kryptowährungen in einem Azure-Abonnement.
Oben auf der Alert-Detailseite werden die Kundeninformationen und der Wiederverkäufer (falls zutreffend) angezeigt.
Die Alert-Beschreibung bietet einen Überblick über die Gründe für das Auftreten des Alerts und die zu untersuchenden Schritte.
Der Abschnitt «Betroffene Ressourcen» zeigt die folgenden Informationen an:
- Ressourceninformationen – Details zu den Ressourcen, die an der Erkennung beteiligt waren, die den Alarm ausgelöst hat. In diesem Beispiel gibt es eine virtuelle Maschine namens «badvmtest» in der Ressourcengruppe «testserver». Die Zeit der ersten Verbindung und die Zeit der letzten Verbindung geben an, wann diese Ressource zum ersten Mal mit einem bekannten Mining-Pool in Kontakt getreten ist und wann sie zum letzten Mal beobachtet wurde.
- Zusätzliche Informationen – Wenn Details über das Verhalten der Ressource verfügbar sind, werden sie hier angezeigt. In diesem Beispiel hat die virtuelle Maschine «badvmtest» mit der IP-Adresse eines bekannten Mining-Pools kommuniziert. Der Abschnitt mit den Ressourceninformationen zeigt, dass sie sich zwischen dem Zeitpunkt der ersten Verbindung und dem Zeitpunkt der letzten Verbindung viermal mit der IP-Adresse verbunden hat.
- Aktionsleiste – Wenn Sie die Untersuchung des Alarms abgeschlossen haben, wählen Sie eine Aktion aus, um dem Partner Center mitzuteilen, was Sie entdeckt haben. Wenn Sie eine Aktion auswählen, wird der Alarm als gelöst markiert. Die von Ihnen gewählte Aktion gibt den Grund an, aus dem Sie die Warnung auflösen. Es stehen folgende Optionen zur Verfügung:
- Als legitim markieren – Sie haben die Ressourcen untersucht und entweder keine Beweise für das gefunden, worauf die Warnung hindeutet, oder nach Rücksprache mit dem Kunden, der angibt, dass das Verhalten zu erwarten ist.
- Als betrügerisch markieren – Sie haben die Ressourcen untersucht und festgestellt, dass sie das Verhalten zeigen, auf das die Warnmeldung hinweist.
- Ressourcen – Verwenden Sie die Links in diesem Abschnitt der Warnung, um mehr über Warnungen zu erfahren und was zu tun ist, wenn Sie eine Warnung erhalten.
- Ressourcen – Erfahren Sie mehr über Warnungen und was zu tun ist, wenn Sie eine Warnung erhalten.
Wählen Sie eine Warnung aus, um die Detailseite der Warnung zu öffnen.
Aktionen auf der Alert-Detailseite
Beispiel für die Detailseite eines Alarms:
Auf der Beispielseite «Alert Detail» werden drei Aktionen angezeigt, die Sie durchführen können.
- Abonnement kündigen – Sie müssen sowohl über die Rolle Global Administrator als auch über die Rolle Admin Agent verfügen, um diese Aktion nutzen zu können. Wenn Ihre Untersuchung des Alerts darauf hindeutet, dass das Azure-Subscription von einer nicht autorisierten Partei übernommen wurde, können Sie Subscriptions kündigen auswählen, um alle Ressourcen im Azure-Abonnement freizugeben und alle Daten im Abonnement zur Löschung nach der Aufbewahrungsfrist zu markieren. Bevor Sie diese Aktion durchführen, empfehlen wir Ihnen, mit Ihrem Kunden über die Warnung zu kommunizieren und, wenn möglich, seine Zustimmung zur Kündigung des Abonnements einzuholen. Wenn Sie diese Schaltfläche auswählen, wird die folgende Bestätigungsseite angezeigt, um sicherzustellen, dass Sie die Auswirkungen dieser Aktion verstehen. Wählen Sie Mit Kündigung fortfahren, um das Azure-Abonnement zu kündigen. Wenn Sie Mit Kündigung fortfahren wählen, wird das Abonnement gekündigt und alle Alarme für dieses Abonnement werden mit dem Grund Betrug als gelöst markiert.
- Weitere Informationen finden Sie unter Kündigen eines Azure-Abonnements.
- Abonnement verwalten – Die Aktion Abonnement verwalten führt Sie zum Azure-Verwaltungsportal über Admin on Behalf of. Je nach der Ihnen vom Kunden gewährten Zugriffsebene können Sie die in der Warnmeldung angegebenen Ressourcen weiter untersuchen. Weitere Informationen finden Sie unter Verwalten von Abonnements und Ressourcen im Rahmen des Azure-Plans.
- Zurück zu Alerts – Kehrt zur Hauptseite des Alert Dashboards mit der Liste der Alerts zurück.
Aktionen auf der Seite Alert
Oberhalb der Alarmliste auf der Seite «Alert» können Sie zwei Aktionen durchführen.
Exportieren – Wenn Sie alle detaillierten Informationen zu den Alarmen exportieren möchten, können Sie die Aktion Exportieren verwenden, um eine CSV-Datei (Komma getrennte Werte) mit den Alarminformationen herunterzuladen. Hinweis: Beim Exportieren wird eine CSV-Datei erstellt, die nur die aktuell angezeigten Warnmeldungen enthält. Passen Sie die Option Filter an, um die zu exportierenden Warnungen anzuzeigen.
Sie können nach einem Alarmtyp wie Krypto-Mining filtern, mehrere Alarme auswählen und sie gegebenenfalls als gelöst markieren.
Was sollten Sie tun, wenn ein Azure-Abonnement kompromittiert wurde?
Ergreifen Sie sofortige Maßnahmen, um Ihr Konto und Ihre Daten zu schützen. Im Folgenden finden Sie einige Vorschläge und Tipps, wie Sie schnell reagieren und einen potenziellen Vorfall eindämmen können, um dessen Auswirkungen und das allgemeine Geschäftsrisiko zu verringern.
Die Beseitigung kompromittierter Identitäten in einer Cloud-Umgebung ist entscheidend für die Gewährleistung der Gesamtsicherheit Cloud-basierter Systeme. Kompromittierte Identitäten können Angreifern Zugang zu sensiblen Daten und Ressourcen verschaffen, weshalb sofortige Maßnahmen zum Schutz des Kontos und der Daten ergriffen werden müssen.
- Ändern Sie sofort die Anmeldedaten für:
- Überprüfen Sie alle E-Mails und Telefonnummern zur Wiederherstellung von Passwörtern für globale Administratoren innerhalb von Azure Active Directory und verifizieren Sie diese. Aktualisieren Sie diese, falls erforderlich. Empfehlungen zur Passwortpolitik
- Überprüfen Sie, welche Benutzer, Mandanten und Abonnements im Azure-Portal gefährdet sind.
- Überprüfen Sie die Azure Active Directory-Anmeldeprotokolle auf dem Kunden-Tenant, um ungewöhnliche Anmeldemuster um den Zeitpunkt herum zu erkennen, an dem der Sicherheitsalarm ausgelöst wird.
Nachdem die böswilligen Akteure vertrieben wurden, bereinigen Sie die kompromittierten Ressourcen. Behalten Sie das betroffene Abonnement genau im Auge, um sicherzustellen, dass es keine weiteren verdächtigen Aktivitäten gibt. Es empfiehlt sich auch, Ihre Protokolle und Prüfpfade regelmäßig zu überprüfen, um sicherzustellen, dass Ihr Konto sicher ist.
Es ist einfacher, eine Kontokompromittierung zu verhindern, als sich von ihr zu erholen. Deshalb ist es wichtig, Ihre Sicherheitsvorkehrungen zu verstärken.