Azure-Betrugsbenachrichtigung – Abrufen von Betrugsereignissen
Gilt für: Partner Center-API
In diesem Artikel wird erläutert, wie Sie programmgesteuert die Liste der Azure-Ressourcen abrufen, die von Betrugsaktivitäten betroffen sind. Weitere Informationen zur Azure-Betrugserkennung für Partner finden Sie unter Azure-Betrugserkennung und -benachrichtigung.
Ab Mai 2023 können Pilotpartner diese API mit dem Neuen Ereignismodell verwenden. Mit dem neuen Modell können Sie neue Arten von Warnungen erhalten, während sie dem System hinzugefügt werden (z. B. aomale Computenutzung, Krypto-Mining, Azure Machine Learning-Nutzung und Dienstintegritätsempfehlungsbenachrichtigungen).
Voraussetzungen
- Anmeldeinformationen, wie unter Partner Center-Authentifizierung beschrieben. In diesem Szenario wird die Authentifizierung mit App- und Benutzeranmeldeinformationen unterstützt.
REST-Anforderung
Anforderungssyntax
Methode | Anforderungs-URI |
---|---|
GET | {baseURL}/v1/fraudEvents> |
Anforderungsheader
- Weitere Informationen finden Sie unter Partner Center-REST-Header.
Anforderungstext
Keine
Anforderungsbeispiel
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
URI-Parameter
Sie können beim Erstellen der Anforderung die folgenden optionalen Abfrageparameter verwenden.
Name | Type | Erforderlich | Beschreibung |
---|---|---|---|
EventStatus | Zeichenfolge | No | Der Status der Betrugswarnung, es ist aktiv, aufgelöst oder wird untersucht. |
SubscriptionId | Zeichenfolge | No | Die Azure-Abonnement-ID, die über die Crypro-Mining-Aktivitäten verfügt |
REST-Antwort
Bei erfolgreicher Ausführung gibt die Methode eine Sammlung von Betrugsereignissen im Antworttext zurück.
Erfolgs- und Fehlercodes der Antwort
Jede Antwort enthält einen HTTP-Statuscode, der Erfolg oder Fehler und andere Debuginformationen angibt. Verwenden Sie ein Netzwerkablaufverfolgungstool, um diesen Code, fehlertyp und weitere Parameter zu lesen. Die vollständige Liste findest du unter Partner-API: REST-Fehlercodes.
Beispielantwort
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved" : "9999-12-31T23:59:59.9970000",
"lastObserved" : "9999-12-31T23:59:59.9970000"
}
]
REST-Anforderung mit dem X-NewEventsModel-Header
Anforderungssyntax
Methode | Anforderungs-URI |
---|---|
GET | [{baseURL}]/v1/fraudEvents> |
Anforderungsheader
- Weitere Informationen finden Sie unter Partner Center-REST-Header.
- X-NewEventsModel:
true
Anforderungstext
Keine
Anforderungsbeispiel
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId}&EventType={EventType}&PageSize={PageSize}&PageNumber={PageNumber} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
URI-Parameter
Sie können beim Erstellen der Anforderung die folgenden optionalen Abfrageparameter verwenden.
Name | Type | Erforderlich | Beschreibung |
---|---|---|---|
EventStatus | Zeichenfolge | No | Der Status der Betrugswarnung. Es ist aktiv, aufgelöst oder wird untersucht. |
SubscriptionId | Zeichenfolge | No | Die Azure-Abonnement-ID, auf der die betrügerischen Aktivitäten abgefragt werden. |
EventType | Zeichenfolge | No | Der Betrugswarnungstyp ist mit Betrugsereignissen verknüpft. Verfügbar mit X-NewEventsModel-Header. Werte sind ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
PageSize | int | No | Das Seitenformat-Attribut für die Paginierung ist die Anzahl der Datensätze pro Seite. Es ist mit X-NewEventsModel-Header und nichtzero positiver PageNumber verfügbar. |
PageNumber | int | No | Das Seitenzahlen-Attribut für die Paginierung. Verfügbar mit X-NewEventsModel-Header und nonzero positive PageSize. |
REST-Antwort mit dem X-NewEventsModel-Header
Bei erfolgreicher Ausführung gibt die Methode eine Sammlung von Betrugsereignissen im Antworttext zurück.
Erfolgs- und Fehlercodes der Antwort
Jede Antwort enthält einen HTTP-Statuscode, der Erfolg oder Fehler und andere Debuginformationen angibt. Verwenden Sie ein Netzwerkablaufverfolgungstool, um diesen Code, fehlertyp und weitere Parameter zu lesen. Die vollständige Liste findest du unter Partner-API: REST-Fehlercodes.
Beispielantwort
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved": "9999-12-31T23:59:59.9970000",
"lastObserved": "9999-12-31T23:59:59.9970000",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": { "resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]",
}
]
Eigenschaft | Typ | Beschreibung |
---|---|---|
eventTime | datetime | Zeitpunkt, zu dem die Warnung erkannt wurde |
eventId | Zeichenfolge | Der eindeutige Bezeichner für die Warnung |
partnerTenantId | Zeichenfolge | Die Mandanten-ID des Partners, der der Warnung zugeordnet ist |
partnerFriendlyName | Zeichenfolge | Ein Anzeigename für den Partnermandanten. Weitere Informationen finden Sie unter Abrufen eines Organisationsprofils. |
customerTenantId | Zeichenfolge | Die Mandanten-ID des Kunden, der der Warnung zugeordnet ist |
customerFriendlyName | Zeichenfolge | Ein Anzeigename für den Kundenmandanten |
subscriptionId | Zeichenfolge | Die Abonnement-ID des Kundenmandanten |
subscriptionType | Zeichenfolge | Der Abonnementtyp des Kundenmandanten |
entityId | Zeichenfolge | Der eindeutige Bezeichner für die Warnung |
entityName | Zeichenfolge | Der Name der Entität, die kompromittiert wurde |
entityUrl | Zeichenfolge | Die Entitäts-URL der Ressource |
hitCount | Zeichenfolge | Die Anzahl der verbindungen, die zwischen firstObserved und lastObserved erkannt wurden |
catalogOfferId | Zeichenfolge | Die moderne Angebotskategorie-ID des Abonnements |
eventStatus | Zeichenfolge | Der Status der Warnung. Es ist aktiv, wird untersucht oder aufgelöst |
serviceName | Zeichenfolge | Der Name des Azure-Diensts, der der Warnung zugeordnet ist |
resourceName | Zeichenfolge | Der Name der Azure-Ressource, die der Warnung zugeordnet ist |
resourceGroupName | Zeichenfolge | Der Name der Azure-Ressourcengruppe, die der Warnung zugeordnet ist |
firstOccurrence | datetime | Die Auswirkung der Startzeit der Warnung (die Uhrzeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung enthalten ist). |
lastOccurrence | datetime | Die Auswirkungen endzeit der Warnung (die Uhrzeit des letzten Ereignisses oder der letzten Aktivität, die in der Warnung enthalten ist). |
resolvedReason | Zeichenfolge | Der Vom Partner bereitgestellte Grund für die Adressierung des Warnungsstatus |
resolvedOn | datetime | Der Zeitpunkt, zu dem die Warnung aufgelöst wurde |
resolvedBy | Zeichenfolge | Der Benutzer, der die Warnung aufgelöst hat |
firstObserved | datetime | Die Auswirkung der Startzeit der Warnung (die Uhrzeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung enthalten ist). |
lastObserved | datetime | Die Auswirkungen endzeit der Warnung (die Uhrzeit des letzten Ereignisses oder der letzten Aktivität, die in der Warnung enthalten ist). |
eventType | Zeichenfolge | Der Warnungstyp. Es ist ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
severity | Zeichenfolge | Der Schweregrad der Warnung. Werte: Niedrig, Mittel, Hoch |
confidenceLevel | Zeichenfolge | Das Konfidenzniveau der Warnung, Werte- Niedrig, Mittel, Hoch |
displayName | Zeichenfolge | Ein benutzerfreundlicher Anzeigename für die Warnung, abhängig vom Warnungstyp. |
Beschreibung | string | Eine Beschreibung der Warnung |
country | Zeichenfolge | Der Ländercode für den Partnermandanten |
valueAddedResellerTenantId | Zeichenfolge | Die Mandanten-ID des Mehrwerthändlers, der dem Partnermandanten und dem Kundenmandanten zugeordnet ist |
valueAddedResellerFriendlyName | Zeichenfolge | Ein Anzeigename für den Mehrwert-Wiederverkäufer |
subscriptionName | Zeichenfolge | Der Abonnementname des Kundenmandanten |
Betroffene Ressourcen | json-Array | Die Liste der betroffenen Ressourcen. Betroffene Ressourcen können für unterschiedliche Warnungstypen leer sein. Wenn ja, muss der Partner die Nutzung und den Verbrauch auf Abonnementebene überprüfen. |
additionalDetails | Json-Objekt | Ein Wörterbuch mit anderen Detailschlüsselwertpaaren, die zum Identifizieren und Verwalten der Sicherheitswarnung erforderlich sind. |
isTest | Zeichenfolge | Eine Warnung ist eine Testwarnung. Es ist wahr oder falsch. |
activityLogs | Zeichenfolge | Aktivitätsprotokolle für Warnungen. |