Responder a eventos de seguridad con el panel Alertas de seguridad

Roles adecuados: Agente de administración

Se aplica a: partners de facturación directa del Partner Center y proveedores indirectos

El panel Alertas de seguridad del Centro de Partners le ayuda a responder rápidamente a los eventos de seguridad, fraude y otros que se producen en el Centro de Partners o en la entidad del cliente.

APIs

Si tiene varios inquilinos de Microsoft Entra en el Centro de partners, puede usar las siguientes API para obtener y actualizar alertas en lugar de usar el panel Alertas de seguridad:

Requisitos previos

Para usar el panel Alertas de seguridad del Centro de asociados, la cuenta de usuario debe estar asignada al rol Agente administrador.

Importancia de la respuesta oportuna a las alertas

Cuando se crea una alerta en el panel, es fundamental evaluar y mitigar el incidente que provocó la alerta lo antes posible. Como principio rector, se recomienda responder a las alertas en un plazo de una hora. En el caso del tipo de alertas de fraude , cuanto más tiempo tarde en responder y mitigar el incidente que provocó la alerta, mayor será el posible impacto financiero.

Apertura del panel

Para abrir el panel Alertas de seguridad del Centro de Partners:

  1. Inicie sesión en el Centro de partners como un usuario que tenga el rol de Agente administrador.
  2. Seleccione el espacio de trabajo de Insights.
  3. En el menú de la izquierda, en Seguridad, seleccione Alertas.

También puede usar este vínculo para ir directamente al panel.

Visualización de alertas

El panel muestra información sobre las siguientes categorías de alertas.

Captura de pantalla que muestra el panel Alertas de seguridad del Centro de partners, incluido el tiempo medio de respuesta, los nuevos eventos de esta semana, resueltos y sin resolver.

  • Promedio de tiempo: tiempo medio para responder y resolver alertas durante los últimos 30 días.
  • Nuevos eventos de esta semana: el número de nuevas alertas de los últimos siete días.
  • Resuelto: el número de alertas que se resuelven con un motivo especificado (por ejemplo, Legítimo o Fraude).
  • Sin resolver: número de alertas sin resolver que necesitan atención.

En la sección inferior del panel se enumeran las alertas que afectan al inquilino del Centro de partners donde ha iniciado sesión.

Captura de pantalla que muestra el panel Alertas de seguridad y las acciones que puede realizar, incluida Cancelar suscripción y Exportar.

La tabla tiene estas columnas:

  • Nombre de la alerta: información de alto nivel sobre lo que se detectó.
  • Identificador de suscripción: identificador que aparece cuando se detecta una alerta en una suscripción de Azure específica.
  • Identificador de alerta: identificador único de la alerta.
  • ID de cliente: ID de inquilino del cliente asociado a la alerta.
  • Estado de la alerta: estado de la alerta (activa o resuelta).
  • Hora detectada: la hora en que se cumplen los criterios para desencadenar la generación de alertas.
  • Primer observado: la primera vez que se observó el comportamiento (pero es posible que no haya alertado).
  • Última observación: la hora más reciente en que apareció la alerta.
  • Tipo de alerta: el tipo de actividad que se detectó y que provocó la alerta. Hay dos tipos de alerta:
    • Notificación de Azure: indica que se envió un mensaje al cliente de la suscripción de Azure afectada y se mostró como una notificación de Service Health . Aparece una copia de este mensaje en los detalles de la alerta.
    • Uso de Azure: indica un aumento inusual de la actividad en la suscripción de Azure o una actividad anómala que se produce en la suscripción, como la minería de criptomonedas.
  • Gravedad de la alerta: nivel de urgencia al responder a la alerta.
  • Nivel de confianza: determinado por el origen de alertas.
  • Alerta de prueba: indica si la alerta está vinculada a un evento real o a una prueba generada.

Puede usar la opción Filtrar para cambiar las alertas que aparecen en el panel Alertas .

Puede usar la función de búsqueda para buscar todas las alertas con la información que escriba en el cuadro. Los resultados de la búsqueda incluyen la siguiente información:

  • Id. de suscripción
  • Id. de alerta
  • Nombre del cliente

Acciones en la página de detalles de la alerta

Para mostrar más detalles sobre una alerta, seleccione el nombre de la alerta. Por ejemplo, la siguiente alerta de ejemplo muestra el comportamiento relacionado con la minería de criptomoneda que se produce en una suscripción de Azure.

Captura de pantalla que muestra los detalles de alerta relacionados con la minería de criptomoneda.

Sección superior

En la parte superior de la página de detalles de la alerta se muestra información de cliente y revendedor (si procede).

Descripción de alerta

En la sección Descripción de alerta se proporciona información general sobre por qué se produjo la alerta, junto con los pasos para investigar.

Recursos afectados

La sección Recursos afectados contiene dos acciones:

  • Marcar como legítimo: usted investigó los recursos y no encontró ninguna evidencia de lo que la alerta indicaba o verificó con el cliente que se esperaba el comportamiento.
  • Marcar como fraude: ha investigado los recursos y ha detectado que estaban realizando el comportamiento indicado por la alerta.

Cuando termine su investigación sobre la alerta, seleccione una acción para indicar al Centro de Partners lo que ha descubierto. Al seleccionar una acción, se marca la alerta Resuelta. La acción que seleccione indica el motivo (es decir, el valor reason ) por el que va a resolver la alerta.

Información de recursos

La sección Información de recursos proporciona detalles sobre los recursos implicados en la detección que provocó la alerta. En este ejemplo, hay una máquina virtual denominada badvmtest en el grupo de recursos denominado testserver. Los valores de la primera conexión y de la última conexión indican cuándo detectamos por primera vez que este recurso se contactó con un grupo de minería conocido y la última ocasión que lo observamos.

Información adicional

En la sección Información adicional se proporcionan detalles sobre el comportamiento que muestra el recurso, si hay alguno disponible. En este ejemplo, la máquina virtual badvmtest se comunicó con la dirección IP de un grupo de minería conocido. La sección Información de recursos muestra que se ha conectado a la dirección IP cuatro veces entre la primera hora de conexión y la hora de la última conexión.

Recursos

En la sección Recursos , use los vínculos para obtener más información sobre las alertas y qué hacer cuando reciba una alerta.

Sección inferior

En la parte inferior de la página de detalles de la alerta se muestran tres botones para las acciones que puede realizar.

Captura de pantalla que muestra la parte inferior de una alerta de seguridad, con opciones para cancelar una suscripción, administrar una suscripción o volver a las alertas.

  • Cancelar suscripción: debe tener roles de administrador global y agente de administración para usar esta acción. Si la investigación en la alerta indica que una entidad no autorizada ha superado la suscripción de Azure, puede seleccionar Cancelar suscripción para desasignar todos los recursos de la suscripción de Azure y marcar todos los datos de la suscripción para su eliminación después del período de retención.

    Antes de realizar esta acción, se recomienda comunicarse con el cliente sobre la alerta y, si es posible, obtener su consentimiento para cancelar la suscripción. Al seleccionar el botón, aparece un cuadro de diálogo y le pide que confirme que comprende el impacto de esta acción.

    Captura de pantalla que muestra el cuadro de diálogo para cancelar una suscripción, con opciones para volver atrás y continuar con la cancelación.

    Para cancelar la suscripción de Azure, seleccione Continuar con la cancelación. Al seleccionar Continuar con la cancelación, la suscripción se cancela y todas las alertas de esa suscripción se marcan como Resueltas con el motivo Fraude.

    Para más información, consulte Cancelar una suscripción de Azure.

  • Administrar suscripción: esta acción le lleva al portal de Azure mediante Administrador en nombre de (AOBO). En función del nivel de acceso que el cliente le concedió, es posible que pueda investigar aún más los recursos indicados en los detalles de la alerta. Para más información, consulte Administración de suscripciones y recursos en el plan de Azure.

  • Volver a las alertas: esta acción le devuelve al panel Alertas de seguridad con la lista de alertas.

Acciones en el panel Alertas de seguridad

Encima de la lista de alertas del panel Alertas de seguridad hay dos acciones que puede realizar.

Captura de pantalla que muestra el panel Alertas de seguridad y las opciones para cancelar una suscripción y exportar información.

  • Cancelar suscripción: debe tener roles de administrador global y agente de administración para usar esta acción. Si la investigación en la alerta indica que una entidad no autorizada ha superado la suscripción de Azure, puede seleccionar Cancelar suscripción para desasignar todos los recursos de la suscripción de Azure y marcar todos los datos de la suscripción para su eliminación después del período de retención.

    Antes de realizar esta acción, se recomienda comunicarse con el cliente sobre la alerta y, si es posible, obtener su consentimiento para cancelar la suscripción. Al seleccionar el botón, aparece un cuadro de diálogo y le pide que confirme que comprende el impacto de esta acción.

    Para cancelar la suscripción de Azure, seleccione Continuar con la cancelación.

    Captura de pantalla que muestra el cuadro de diálogo de confirmación para cancelar una suscripción.

  • Exportar: si desea exportar toda la información detallada sobre las alertas, puede usar la acción Exportar para descargar un archivo de valor separado por comas (CSV) que contenga la información de alerta.

    Esta acción genera un archivo CSV con solo las alertas que está viendo actualmente. Para ajustar las alertas que desea exportar, use la opción Filtrar .

Contenido relacionado

  • Last updated on