Freigeben über


Azure-Betrugsbenachrichtigung – Abrufen von Betrugsereignissen

Gilt für: Partner Center-API

In diesem Artikel wird erläutert, wie Sie programmgesteuert die Liste der Azure-Ressourcen abrufen, die von Betrugsaktivitäten betroffen sind. Weitere Informationen zur Azure-Betrugserkennung für Partner finden Sie unter Azure-Betrugserkennung und -benachrichtigung.

Ab Mai 2023 können Pilotpartner diese API mit dem Neuen Ereignismodell verwenden. Mit dem neuen Modell können Sie neue Arten von Warnungen erhalten, während sie dem System hinzugefügt werden (z. B. aomale Computenutzung, Krypto-Mining, Azure Machine Learning-Nutzung und Dienstintegritätsempfehlungsbenachrichtigungen).

Voraussetzungen

  • Anmeldeinformationen, wie unter Partner Center-Authentifizierung beschrieben. In diesem Szenario wird die Authentifizierung mit App- und Benutzeranmeldeinformationen unterstützt.

REST-Anforderung

Anforderungssyntax

Methode Anforderungs-URI
GET {baseURL}/v1/fraudEvents>

Anforderungsheader

Anforderungstext

Keine

Anforderungsbeispiel

GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json

URI-Parameter

Sie können beim Erstellen der Anforderung die folgenden optionalen Abfrageparameter verwenden.

Name Type Erforderlich Beschreibung
EventStatus Zeichenfolge No Der Status der Betrugswarnung, es ist aktiv, aufgelöst oder wird untersucht.
SubscriptionId Zeichenfolge No Die Azure-Abonnement-ID, die über die Crypro-Mining-Aktivitäten verfügt

REST-Antwort

Bei erfolgreicher Ausführung gibt die Methode eine Sammlung von Betrugsereignissen im Antworttext zurück.

Erfolgs- und Fehlercodes der Antwort

Jede Antwort enthält einen HTTP-Statuscode, der Erfolg oder Fehler und andere Debuginformationen angibt. Verwenden Sie ein Netzwerkablaufverfolgungstool, um diesen Code, fehlertyp und weitere Parameter zu lesen. Die vollständige Liste findest du unter Partner-API: REST-Fehlercodes.

Beispielantwort

HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
    {
        "eventTime": "2021-12-08T00:25:45.69",
        "eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
        "partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "partnerFriendlyName": "test partner",
        "customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "customerFriendlyName": "test customer",
        "subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "subscriptionType": "modern",
        "entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
        "entityName": "sampleentity",
        "entityUrl": "\\sample\\entity\\url",
        "hitCount": "10",
        "catalogOfferId": "ms-azr-17g",
        "eventStatus": "Active",
        "serviceName": "sampleservice",
        "resourceName": "sampleresource",
        "resourceGroupName": "sampleresourcegroup",
        "firstOccurrence": "2021-12-08T00:25:45.69",
        "lastOccurrence": "2021-12-08T00:25:45.69",
        "resolvedReason": "None",
        "resolvedOn": "9999-12-31T23:59:59.9970000",
        "resolvedBy": ""
        "firstObserved" : "9999-12-31T23:59:59.9970000",
        "lastObserved" : "9999-12-31T23:59:59.9970000"
    }
]

REST-Anforderung mit dem X-NewEventsModel-Header

Anforderungssyntax

Methode Anforderungs-URI
GET [{baseURL}]/v1/fraudEvents>

Anforderungsheader

Anforderungstext

Keine

Anforderungsbeispiel

GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId}&EventType={EventType}&PageSize={PageSize}&PageNumber={PageNumber} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true

URI-Parameter

Sie können beim Erstellen der Anforderung die folgenden optionalen Abfrageparameter verwenden.

Name Type Erforderlich Beschreibung
EventStatus Zeichenfolge No Der Status der Betrugswarnung. Es ist aktiv, aufgelöst oder wird untersucht.
SubscriptionId Zeichenfolge No Die Azure-Abonnement-ID, auf der die betrügerischen Aktivitäten abgefragt werden.
EventType Zeichenfolge No Der Betrugswarnungstyp ist mit Betrugsereignissen verknüpft. Verfügbar mit X-NewEventsModel-Header. Werte sind ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly
PageSize int No Das Seitenformat-Attribut für die Paginierung ist die Anzahl der Datensätze pro Seite. Es ist mit X-NewEventsModel-Header und nichtzero positiver PageNumber verfügbar.
PageNumber int No Das Seitenzahlen-Attribut für die Paginierung. Verfügbar mit X-NewEventsModel-Header und nonzero positive PageSize.

REST-Antwort mit dem X-NewEventsModel-Header

Bei erfolgreicher Ausführung gibt die Methode eine Sammlung von Betrugsereignissen im Antworttext zurück.

Erfolgs- und Fehlercodes der Antwort

Jede Antwort enthält einen HTTP-Statuscode, der Erfolg oder Fehler und andere Debuginformationen angibt. Verwenden Sie ein Netzwerkablaufverfolgungstool, um diesen Code, fehlertyp und weitere Parameter zu lesen. Die vollständige Liste findest du unter Partner-API: REST-Fehlercodes.

Beispielantwort

HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
    {
        "eventTime": "2021-12-08T00:25:45.69",
        "eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
        "partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "partnerFriendlyName": "test partner",
        "customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "customerFriendlyName": "test customer",
        "subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "subscriptionType": "modern",
        "entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
        "entityName": "sampleentity",
        "entityUrl": "\\sample\\entity\\url",
        "hitCount": "10",
        "catalogOfferId": "ms-azr-17g",
        "eventStatus": "Active",
        "serviceName": "sampleservice",
        "resourceName": "sampleresource",
        "resourceGroupName": "sampleresourcegroup",
        "firstOccurrence": "2021-12-08T00:25:45.69",
        "lastOccurrence": "2021-12-08T00:25:45.69",
        "resolvedReason": "None",
        "resolvedOn": "9999-12-31T23:59:59.9970000",
        "resolvedBy": ""
        "firstObserved": "9999-12-31T23:59:59.9970000",
        "lastObserved": "9999-12-31T23:59:59.9970000",
        "eventType": "NetworkConnectionsToCryptoMiningPools",
        "severity": "Medium",
        "confidenceLevel": "high",
        "displayName": "sample display name",
        "description": "sample description.",
        "country": "US",
        "valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "valueAddedResellerFriendlyName": "Sample Reseller Name",
        "subscriptionName": "sample Subscription Name",
        "affectedResources": [
            {
                "azureResourceId": "\\sample\\resource\\url ",
                "type": "sample resource type"
            }
        ],
        "additionalDetails": { "resourceid": "\\sample\\resource\\id ",
            "resourcetype": "sample resource type",
            "vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
            "miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
            "connectionCount": "31",
            "cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
            },
        "IsTest": "false",
        "activityLogs": "[
        {
                "statusFrom": "Active",
                "statusTo": "Investigating",
                "updatedBy": "admin@testtestcsp022.onmicrosoft.com",
                "dateTime": "2023-07-10T12:34:27.8016635+05:30"
        },
        {
                "statusFrom": "Investigating",
                "statusTo": "Resolved",
                "updatedBy": "admin@testtestcsp022.onmicrosoft.com",
                "dateTime": "2023-07-10T12:38:26.693182+05:30"
        }
]",

    }
]
Eigenschaft Typ Beschreibung
eventTime datetime Zeitpunkt, zu dem die Warnung erkannt wurde
eventId Zeichenfolge Der eindeutige Bezeichner für die Warnung
partnerTenantId Zeichenfolge Die Mandanten-ID des Partners, der der Warnung zugeordnet ist
partnerFriendlyName Zeichenfolge Ein Anzeigename für den Partnermandanten. Weitere Informationen finden Sie unter Abrufen eines Organisationsprofils.
customerTenantId Zeichenfolge Die Mandanten-ID des Kunden, der der Warnung zugeordnet ist
customerFriendlyName Zeichenfolge Ein Anzeigename für den Kundenmandanten
subscriptionId Zeichenfolge Die Abonnement-ID des Kundenmandanten
subscriptionType Zeichenfolge Der Abonnementtyp des Kundenmandanten
entityId Zeichenfolge Der eindeutige Bezeichner für die Warnung
entityName Zeichenfolge Der Name der Entität, die kompromittiert wurde
entityUrl Zeichenfolge Die Entitäts-URL der Ressource
hitCount Zeichenfolge Die Anzahl der verbindungen, die zwischen firstObserved und lastObserved erkannt wurden
catalogOfferId Zeichenfolge Die moderne Angebotskategorie-ID des Abonnements
eventStatus Zeichenfolge Der Status der Warnung. Es ist aktiv, wird untersucht oder aufgelöst
serviceName Zeichenfolge Der Name des Azure-Diensts, der der Warnung zugeordnet ist
resourceName Zeichenfolge Der Name der Azure-Ressource, die der Warnung zugeordnet ist
resourceGroupName Zeichenfolge Der Name der Azure-Ressourcengruppe, die der Warnung zugeordnet ist
firstOccurrence datetime Die Auswirkung der Startzeit der Warnung (die Uhrzeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung enthalten ist).
lastOccurrence datetime Die Auswirkungen endzeit der Warnung (die Uhrzeit des letzten Ereignisses oder der letzten Aktivität, die in der Warnung enthalten ist).
resolvedReason Zeichenfolge Der Vom Partner bereitgestellte Grund für die Adressierung des Warnungsstatus
resolvedOn datetime Der Zeitpunkt, zu dem die Warnung aufgelöst wurde
resolvedBy Zeichenfolge Der Benutzer, der die Warnung aufgelöst hat
firstObserved datetime Die Auswirkung der Startzeit der Warnung (die Uhrzeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung enthalten ist).
lastObserved datetime Die Auswirkungen endzeit der Warnung (die Uhrzeit des letzten Ereignisses oder der letzten Aktivität, die in der Warnung enthalten ist).
eventType Zeichenfolge Der Warnungstyp. Es ist ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly
severity Zeichenfolge Der Schweregrad der Warnung. Werte: Niedrig, Mittel, Hoch
confidenceLevel Zeichenfolge Das Konfidenzniveau der Warnung, Werte- Niedrig, Mittel, Hoch
displayName Zeichenfolge Ein benutzerfreundlicher Anzeigename für die Warnung, abhängig vom Warnungstyp.
Beschreibung string Eine Beschreibung der Warnung
country Zeichenfolge Der Ländercode für den Partnermandanten
valueAddedResellerTenantId Zeichenfolge Die Mandanten-ID des Mehrwerthändlers, der dem Partnermandanten und dem Kundenmandanten zugeordnet ist
valueAddedResellerFriendlyName Zeichenfolge Ein Anzeigename für den Mehrwert-Wiederverkäufer
subscriptionName Zeichenfolge Der Abonnementname des Kundenmandanten
Betroffene Ressourcen json-Array Die Liste der betroffenen Ressourcen. Betroffene Ressourcen können für unterschiedliche Warnungstypen leer sein. Wenn ja, muss der Partner die Nutzung und den Verbrauch auf Abonnementebene überprüfen.
additionalDetails Json-Objekt Ein Wörterbuch mit anderen Detailschlüsselwertpaaren, die zum Identifizieren und Verwalten der Sicherheitswarnung erforderlich sind.
isTest Zeichenfolge Eine Warnung ist eine Testwarnung. Es ist wahr oder falsch.
activityLogs Zeichenfolge Aktivitätsprotokolle für Warnungen.