Azure-Betrugsbenachrichtigung – Status des Betrugsereignisses aktualisieren
gilt für: Partner Center-API
Nachdem Sie die Betrugsaktivitäten für jede gemeldete Azure-Ressource untersucht und das Verhalten als betrügerisch oder legitimiert ermittelt haben, können Sie diese API verwenden, um den Betrugsereignisstatus mit dem entsprechenden Grund zu aktualisieren.
Anmerkung
Diese API aktualisiert nur den Ereignisstatus, die Betrugsaktivität wird nicht im Auftrag von CSP-Partnern aufgelöst.
Ab Mai 2023 können Pilotpartner diese API mit dem Neuen Ereignismodellverwenden. Mit dem neuen Modell können Sie neue Arten von Warnungen aktualisieren, wenn sie dem System hinzugefügt werden, z. B. anomale Computenutzung, Cryptomining, Nutzung von Azure Machine Learning und Benachrichtigungen zu Dienstintegritätshinweisen.
Voraussetzungen
- Anmeldeinformationen wie unter Partner Center-Authentifizierung beschrieben. Dieses Szenario unterstützt die Authentifizierung mit App- und Benutzeranmeldeinformationen.
REST-Anforderung
Anforderungssyntax
| Methode | Anforderungs-URI |
|---|---|
| POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
Anforderungsheader
- Weitere Informationen finden Sie unter Partner Center-REST-Header.
Anforderungstext
Keiner.
Anforderungsbeispiel
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI-Parameter
Verwenden Sie beim Erstellen der Anforderung die folgenden optionalen Abfrageparameter.
| Name | Typ | Erforderlich | Beschreibung |
|---|---|---|---|
SubscriptionId |
Zeichenfolge | Ja | Die Azure-Abonnement-ID, die über die Crypromining-Aktivitäten verfügt |
Anforderungstext
| Eigentum | Typ | Erforderlich | Beschreibung |
|---|---|---|---|
eventIds |
string[] | Nein | Halten Sie eventIds leer, wenn Sie den Status für alle Betrugsereignisse unter der angegebenen Abonnement-ID aktualisieren möchten. |
eventStatus |
Zeichenfolge | Nein | Der Status der Betrugswarnung. Kann entweder Aktiv, Gelöstoder Wird untersucht lauten. |
resolvedReason |
Zeichenfolge | Ja | Wenn ein Betrugsfall gelöst wird, legen Sie einen geeigneten Ursachencode fest. Die akzeptierten Ursachencodes sind Betrug oder Ignorieren. |
REST-Antwort
Bei erfolgreicher Ausführung gibt diese Methode eine Sammlung von Betrugsereignissen im Antworttext zurück.
Antworterfolgs- und Fehlercodes
Jede Antwort enthält einen HTTP-Statuscode, der Erfolg oder Fehler und weitere Debuginformationen angibt. Verwenden Sie ein Netzwerkablaufverfolgungstool, um diesen Code, fehlertyp und weitere Parameter zu lesen. Die vollständige Liste finden Sie unter Fehlercodes.
Antwortbeispiel
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com"
}
]
REST-Anforderung mit dem X-NewEventsModel-Header
Anforderungssyntax
| MethodRequest | URI |
|---|---|
| POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
Anforderungsheader
- X-NewEventsModel: true
- Weitere Informationen finden Sie unter Partner Center-REST-Header.
Anforderungstext
{
"EventIds": ["string"],
"EventStatus": "Resolved",
"ResolvedReason": "Fraud"
}
Anforderungsbeispiel
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI-Parameter
Verwenden Sie beim Erstellen der Anforderung die folgenden optionalen Abfrageparameter.
| Name | Typ | Erforderlich | Beschreibung |
|---|---|---|---|
SubscriptionId |
Zeichenfolge | Ja | Die Azure-Abonnement-ID, die über die Crypromining-Aktivitäten verfügt |
Anforderungstext
| Eigentum | Typ | Erforderlich | Beschreibung |
|---|---|---|---|
eventIds |
string[] | Nein | Halten Sie eventIds leer, wenn Sie den Status für alle Betrugsereignisse unter der angegebenen Abonnement-ID aktualisieren möchten. |
eventStatus |
Zeichenfolge | Ja | Legen Sie sie auf Auflösen fest, um das Betrugsereignis zu aufzulösen, oder legen Sie sie auf Wird untersucht fest, um ein Betrugsereignis zu untersuchen. |
resolvedReason |
Zeichenfolge | Ja | Wenn ein Betrugsfall gelöst wird, legen Sie einen geeigneten Ursachencode fest. Die akzeptierten Ursachencodes sind Betrug oder Ignorieren. |
REST-Antwort
Bei erfolgreicher Ausführung gibt diese Methode eine Sammlung von Betrugsereignissen mit erweiterten Attributen im Antworttext zurück.
Antworterfolgs- und Fehlercodes
Jede Antwort enthält einen HTTP-Statuscode, der Erfolg oder Fehler und weitere Debuginformationen angibt. Verwenden Sie ein Netzwerkablaufverfolgungstool, um diesen Code, fehlertyp und weitere Parameter zu lesen. Die vollständige Liste finden Sie unter "Fehlercodes".
Antwortbeispiel
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": {
"resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]"
}
}
]
| Eigentum | Typ | Beschreibung |
|---|---|---|
eventTime |
datetime | Zeitpunkt, zu dem die Warnung erkannt wurde |
eventId |
Zeichenfolge | Der eindeutige Bezeichner für die Warnung |
partnerTenantId |
Zeichenfolge | Die Mandanten-ID des Partners, der der Warnung zugeordnet ist |
partnerFriendlyName |
Zeichenfolge | Ein Anzeigename für den Partnermandanten |
customerTenantId |
Zeichenfolge | Die Mandanten-ID des Kunden, der der Warnung zugeordnet ist |
customerFriendlyName |
Zeichenfolge | Ein Anzeigename für das Kundenkonto |
subscriptionId |
Zeichenfolge | Die Abonnement-ID des Kundenmandanten |
subscriptionType |
Zeichenfolge | Der Abonnementtyp des Kundenmandanten |
entityId |
Zeichenfolge | Der eindeutige Bezeichner für die Warnung |
entityName |
Zeichenfolge | Der Name der Entität, die kompromittiert wurde |
entityUrl |
Zeichenfolge | Die Entitäts-URL der Ressource |
hitCount |
Zeichenfolge | Die Anzahl der Verbindungen, die zwischen firstObserved und lastObserved erkannt wurden |
catalogOfferId |
Zeichenfolge | Die moderne Angebotskategorie-ID des Abonnements |
eventStatus |
Zeichenfolge | Der Status der Warnung: „Aktiv“, „Wird untersucht“ oder „Gelöst“ |
serviceName |
Zeichenfolge | Der Name des Azure-Diensts, der der Warnung zugeordnet ist |
resourceName |
Zeichenfolge | Der Name der Azure-Ressource, die der Warnung zugeordnet ist |
resourceGroupName |
Zeichenfolge | Der Name der Azure-Ressourcengruppe, die der Warnung zugeordnet ist |
firstOccurrence |
datetime | Die Auswirkung der Startzeit der Warnung (die Uhrzeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung enthalten ist) |
lastOccurrence |
datetime | Der Endzeitpunkt der Auswirkungen der Warnung (Zeitpunkt des letzten Ereignisses oder der letzten Aktivität, die in der Warnung enthalten ist) |
resolvedReason |
Zeichenfolge | Der vom Partner angegebene Grund für die Behebung des Warnzustands |
resolvedOn |
datetime | Der Zeitpunkt, zu dem die Warnung aufgelöst wurde |
resolvedBy |
Zeichenfolge | Der Benutzer, der die Warnung aufgelöst hat |
firstObserved |
datetime | Die Auswirkung der Startzeit der Warnung (die Uhrzeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung enthalten ist) |
lastObserved |
datetime | Endzeit der Auswirkungen der Warnung (die Zeit des letzten Ereignisses oder der letzten Aktivität, die in der Warnung enthalten ist) |
eventType |
Zeichenfolge | Der Typ der Warnung: ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
severity |
Zeichenfolge | Der Schweregrad der Warnung (Werte: Niedrig, Mittel, Hoch) |
confidenceLevel |
Zeichenfolge | Das Konfidenzniveau der Warnung (Werte: Niedrig, Mittel, Hoch) |
displayName |
Zeichenfolge | Ein benutzerfreundlicher Anzeigename für die Warnung abhängig vom Warnungstyp |
description |
Zeichenfolge | Eine Beschreibung der Warnung |
country |
Zeichenfolge | Der Ländercode für den Partnermandanten |
valueAddedResellerTenantId |
Zeichenfolge | Die Mandanten-ID des Value Added Reseller, der dem Partnermandanten und dem Kundenmandanten zugeordnet ist |
valueAddedResellerFriendlyName |
Zeichenfolge | Ein Anzeigename für den Value Added Reseller |
subscriptionName |
Zeichenfolge | Der Abonnementname des Kundenmandanten |
affectedResources |
JSON-Array | Die Liste der betroffenen Ressourcen: Betroffene Ressourcen können bei verschiedenen Warnungstypen leer sein. Falls dies der Fall ist, muss der Partner die Nutzung und den Verbrauch auf Abonnementebene überprüfen. |
additionalDetails |
Json-Objekt | Ein Wörterbuch mit anderen Detailschlüsselwertpaaren, die zum Identifizieren und Verwalten der Sicherheitswarnung erforderlich sind |
isTest |
Zeichenfolge | Wenn eine Benachrichtigung für den Test generiert wird, wird sie auf true oder false gesetzt. |
activityLogs |
Zeichenfolge | Aktivitätsprotokolle für Warnungen |