Freigeben über


Azure-Betrugsbenachrichtigung: Aktualisieren des Betrugsereignisstatus

Gilt für: Partner Center-API

Nachdem Sie die Betrugsaktivitäten für jede gemeldete Azure-Ressource untersucht und das Verhalten als betrügerisch oder legitimiert ermittelt haben, können Sie diese API verwenden, um den Betrugsereignisstatus mit dem entsprechenden Grund zu aktualisieren.

Hinweis

Diese API aktualisiert nur den Ereignisstatus, die Betrugsaktivität wird nicht im Auftrag von CSP-Partnern aufgelöst.

Ab Mai 2023 können Pilotpartner diese API mit dem Neuen Ereignismodell verwenden. Mit dem neuen Modell können Sie neue Arten von Warnungen aktualisieren, wenn sie dem System hinzugefügt werden, z. B. anomale Computenutzung, Krypto-Mining, Azure Machine Learning-Nutzungs- und Dienstintegritätshinweisbenachrichtigungen.

Voraussetzungen

  • Anmeldeinformationen, wie unter Partner Center-Authentifizierung beschrieben. In diesem Szenario wird die Authentifizierung mit App- und Benutzeranmeldeinformationen unterstützt.

REST-Anforderung

Anforderungssyntax

Methode Anforderungs-URI
POST {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status

Anforderungsheader

Anforderungstext

Keine.

Beispiel für eine Anfrage

POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
{​

    "EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
    "EventStatus" : "Resolved",​
    "ResolvedReason": "Fraud"
}

URI-Parameter

Verwenden Sie beim Erstellen der Anforderung die folgenden optionalen Abfrageparameter.

Name Typ Erforderlich Beschreibung
SubscriptionId Zeichenfolge Ja Die Azure-Abonnement-ID, die über die Crypro-Mining-Aktivitäten verfügt

Anforderungstext

Eigenschaft type Erforderlich Beschreibung
eventIds string[] Nein Beibehalten von eventIds als leer, wenn Sie den Status für alle Betrugsereignisse unter der angegebenen Abonnement-ID aktualisieren möchten
eventStatus Zeichenfolge Nein Der Status der Betrugswarnung. Es kann entweder aktiv, aufgelöst oder untersucht werden.
resolvedReason Zeichenfolge Ja Wenn das Betrugsereignis aufgelöst wird, legen Sie einen geeigneten Grundcode fest, die akzeptierten Grundcodes sind Betrug oder Ignorieren

REST-Antwort

Bei erfolgreicher Ausführung gibt diese Methode eine Sammlung von Betrugsereignissen im Antworttext zurück.

Erfolgs- und Fehlercodes der Antwort

Jede Antwort enthält einen HTTP-Statuscode, der Erfolg oder Fehler und weitere Debuginformationen angibt. Verwenden Sie ein Netzwerkablaufverfolgungstool, um diesen Code, fehlertyp und weitere Parameter zu lesen. Die vollständige Liste findest du unter Partner-API: REST-Fehlercodes.

Beispielantwort

HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
    {
        "eventTime": "2021-12-08T00:25:45.69",
        "eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
        "partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "partnerFriendlyName": "test partner",
        "customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "customerFriendlyName": "test customer",
        "subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "subscriptionType": "modern",
        "entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
        "entityName": "sampleentity",
        "entityUrl": "\\sample\\entity\\url",
        "hitCount": "10",
        "catalogOfferId": "ms-azr-17g",
        "eventStatus": "Resolved",
        "serviceName": "sampleservice",
        "resourceName": "sampleresource",
        "resourceGroupName": "sampleresourcegroup",
        "firstOccurrence": "2021-12-08T00:25:45.69",
        "lastOccurrence": "2021-12-08T00:25:45.69",
        "resolvedReason": "Fraud",
        "resolvedOn": "2021-12-08T11:25:45.69",
        "resolvedBy": "adminagent@test.com"
    }
]

REST-Anforderung mit dem X-NewEventsModel-Header

Anforderungssyntax

MethodRequest URI
POST {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status

Anforderungsheader

Anforderungstext


{
    "EventIds": ["string"],
    "EventStatus": "Resolved",
    "ResolvedReason": "Fraud"
}

Beispiel für eine Anfrage

POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
{
    "EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
    "EventStatus" : "Resolved",
    "ResolvedReason": "Fraud"
}

URI-Parameter

Verwenden Sie beim Erstellen der Anforderung die folgenden optionalen Abfrageparameter.

Name Typ Erforderlich Beschreibung
SubscriptionId Zeichenfolge Ja Die Azure-Abonnement-ID, die über die Crypro-Mining-Aktivitäten verfügt

Anforderungstext

Eigenschaft type Erforderlich Beschreibung
eventIds string[] Nein Beibehalten von eventIds als leer, wenn Sie den Status für alle Betrugsereignisse unter der angegebenen Abonnement-ID aktualisieren möchten
eventStatus Zeichenfolge Ja Legen Sie ihn auf "Auflösen" fest, um das Betrugsereignis aufzulösen , oder legen Sie ihn auf "Untersuchen " fest, um ein Betrugsereignis zu untersuchen.
resolvedReason Zeichenfolge Ja Wenn das Betrugsereignis aufgelöst wird, legen Sie einen geeigneten Grundcode fest, die akzeptierten Grundcodes sind Betrug oder Ignorieren

REST-Antwort

Bei erfolgreicher Ausführung gibt die Methode eine Sammlung von Betrugsereignissen mit erweiterten Attributen im Antworttext zurück.

Erfolgs- und Fehlercodes der Antwort

Jede Antwort enthält einen HTTP-Statuscode, der Erfolg oder Fehler und weitere Debuginformationen angibt. Verwenden Sie ein Netzwerkablaufverfolgungstool, um diesen Code, fehlertyp und weitere Parameter zu lesen. Die vollständige Liste findest du unter Partner-API: REST-Fehlercodes.

Beispielantwort

HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
    {
        "eventTime": "2021-12-08T00:25:45.69",
        "eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
        "partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "partnerFriendlyName": "test partner",
        "customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "customerFriendlyName": "test customer",
        "subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "subscriptionType": "modern",
        "entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
        "entityName": "sampleentity",
        "entityUrl": "\\sample\\entity\\url",
        "hitCount": "10",
        "catalogOfferId": "ms-azr-17g",
        "eventStatus": "Resolved",
        "serviceName": "sampleservice",
        "resourceName": "sampleresource",
        "resourceGroupName": "sampleresourcegroup",
        "firstOccurrence": "2021-12-08T00:25:45.69",
        "lastOccurrence": "2021-12-08T00:25:45.69",
        "resolvedReason": "Fraud",
        "resolvedOn": "2021-12-08T11:25:45.69", 
        "resolvedBy": "adminagent@test.com",
        "eventType": "NetworkConnectionsToCryptoMiningPools",
        "severity": "Medium",
        "confidenceLevel": "high",
        "displayName": "sample display name",
        "description": "sample description.",
        "country": "US",
        "valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "valueAddedResellerFriendlyName": "Sample Reseller Name",
        "subscriptionName": "sample Subscription Name",
        "affectedResources": [
            {
                "azureResourceId": "\\sample\\resource\\url ",
                "type": "sample resource type"
            }
        ],
        "additionalDetails": {
            "resourceid": "\\sample\\resource\\id ",
            "resourcetype": "sample resource type",
            "vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
            "miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
            "connectionCount": "31",
            "cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
            },
              "IsTest": "false",
                "activityLogs": "[
                {
                    "statusFrom": "Active",
                    "statusTo": "Investigating",
                    "updatedBy": "admin@testtestcsp022.onmicrosoft.com",
                    "dateTime": "2023-07-10T12:34:27.8016635+05:30"
            },
            {
                    "statusFrom": "Investigating",
                    "statusTo": "Resolved",
                    "updatedBy": "admin@testtestcsp022.onmicrosoft.com",
                    "dateTime": "2023-07-10T12:38:26.693182+05:30"
            }
          ]"

        }
    }
]
Eigenschaft Type Beschreibung
eventTime datetime Zeitpunkt, zu dem die Warnung erkannt wurde
Eventid Zeichenfolge Der eindeutige Bezeichner für die Warnung
partnerTenantId Zeichenfolge Die Mandanten-ID des Partners, der der Warnung zugeordnet ist
partnerFriendlyName Zeichenfolge Ein Anzeigename für den Partnermandanten
customerTenantId Zeichenfolge Die Mandanten-ID des Kunden, der der Warnung zugeordnet ist
customerFriendlyName Zeichenfolge Ein Anzeigename für den Kundenmandanten
subscriptionId Zeichenfolge Die Abonnement-ID des Kundenmandanten
subscriptionType Zeichenfolge Der Abonnementtyp des Kundenmandanten
entityId Zeichenfolge Der eindeutige Bezeichner für die Warnung
entityName Zeichenfolge Der Name der Entität, die kompromittiert wurde
entityUrl Zeichenfolge Die Entitäts-URL der Ressource
hitCount Zeichenfolge Die Anzahl der verbindungen, die zwischen firstObserved und lastObserved erkannt wurden
catalogOfferId Zeichenfolge Die moderne Angebotskategorie-ID des Abonnements
eventStatus Zeichenfolge Der Status der Warnung: Aktiv, Wird untersucht oder aufgelöst
serviceName Zeichenfolge Der Name des Azure-Diensts, der der Warnung zugeordnet ist
resourceName Zeichenfolge Der Name der Azure-Ressource, die der Warnung zugeordnet ist
resourceGroupName Zeichenfolge Der Name der Azure-Ressourcengruppe, die der Warnung zugeordnet ist
firstOccurrence datetime Die Auswirkung der Startzeit der Warnung (die Uhrzeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung enthalten ist).
lastOccurrence datetime Die Auswirkungen endzeit der Warnung (die Uhrzeit des letzten Ereignisses oder der letzten Aktivität, die in der Warnung enthalten ist).
resolvedReason Zeichenfolge Der Vom Partner bereitgestellte Grund für die Adressierung des Warnungsstatus
resolvedOn datetime Der Zeitpunkt, zu dem die Warnung aufgelöst wurde
resolvedBy Zeichenfolge Der Benutzer, der die Warnung aufgelöst hat
firstObserved datetime Die Auswirkung der Startzeit der Warnung (die Uhrzeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung enthalten ist).
lastObserved datetime Die Auswirkungen endzeit der Warnung (die Uhrzeit des letzten Ereignisses oder der letzten Aktivität, die in der Warnung enthalten ist).
eventType Zeichenfolge Der Typ der Warnung: ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, Network Verbinden ionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly
severity Zeichenfolge Der Schweregrad der Warnung. Werte: Niedrig, Mittel, Hoch
confidenceLevel Zeichenfolge Das Konfidenzniveau der Warnung, Werte- Niedrig, Mittel, Hoch
displayName Zeichenfolge Ein benutzerfreundlicher Anzeigename für die Warnung, abhängig vom Warnungstyp.
Beschreibung string Eine Beschreibung der Warnung
country Zeichenfolge Der Ländercode für den Partnermandanten
valueAddedResellerTenantId Zeichenfolge Die Mandanten-ID des Mehrwerthändlers, der dem Partnermandanten und dem Kundenmandanten zugeordnet ist
valueAddedResellerFriendlyName Zeichenfolge Ein Anzeigename für den Mehrwert-Wiederverkäufer
subscriptionName Zeichenfolge Der Abonnementname des Kundenmandanten
Betroffene Ressourcen json-Array Die Liste der betroffenen Ressourcen. Betroffene Ressourcen können für unterschiedliche Warnungstypen leer sein. Wenn ja, muss der Partner die Nutzung und den Verbrauch auf Abonnementebene überprüfen.
additionalDetails Json-Objekt Ein Wörterbuch mit anderen Detailschlüsselwertpaaren, die zum Identifizieren und Verwalten der Sicherheitswarnung erforderlich sind.
isTest Zeichenfolge Wenn eine Warnung für den Test generiert wird, wird sie auf "true " oder " false" festgelegt.
activityLogs Zeichenfolge Aktivitätsprotokolle für Warnungen.