Notificación de fraude de Azure: obtención de eventos de fraude
Se aplica a: API del Centro de partners
En este artículo se explica cómo obtener mediante programación la lista de recursos de Azure afectados por actividades de fraude. Para más información sobre la detección de fraudes de Azure para asociados, consulte Detección y notificación de fraudes de Azure.
A partir de mayo de 2023, los asociados piloto pueden usar esta API con el nuevo modelo de eventos. Con el nuevo modelo, puede obtener nuevos tipos de alertas a medida que se agregan al sistema (por ejemplo, uso anómalo de proceso, minería de cifrado, uso de Azure Machine Learning y notificaciones de aviso de estado del servicio).
Requisitos previos
- Credenciales tal como se describen en el artículo Autenticación del Centro de partners. Este escenario admite la autenticación con credenciales de aplicación y usuario.
Solicitud REST
Sintaxis de la solicitud
| Método | URI de solicitud |
|---|---|
| GET | {baseURL}/v1/fraudEvents> |
Encabezados de solicitud
- Para obtener más información, consulta Encabezados REST del Centro de partners.
Cuerpo de solicitud
None
Ejemplo de solicitud
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
Parámetro de URI
Puede usar los siguientes parámetros de consulta opcionales al crear la solicitud.
| Nombre | Type | Obligatorio | Descripción |
|---|---|---|---|
| EventStatus | string | No | El estado de la alerta de fraude, es Activo, Resuelto o Investigando. |
| SubscriptionId | string | No | El identificador de suscripción de Azure, que tiene las actividades de minería de cripro |
Respuesta REST
Si se ejecuta correctamente, el método devuelve una colección de eventos de fraude en el cuerpo de la respuesta.
Códigos de error y de respuesta correctos
Cada respuesta incluye un código de estado HTTP que indica éxito o error y otra información de depuración. Use una herramienta de seguimiento de red para leer este código, tipo de error y más parámetros. Para obtener la lista completa, consulte Códigos de error.
Ejemplo de respuesta
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved" : "9999-12-31T23:59:59.9970000",
"lastObserved" : "9999-12-31T23:59:59.9970000"
}
]
Solicitud REST con el encabezado X-NewEventsModel
Sintaxis de la solicitud
| Método | URI de solicitud |
|---|---|
| GET | [{baseURL}]/v1/fraudEvents> |
Encabezados de solicitud
- Para obtener más información, consulta Encabezados REST del Centro de partners.
- X-NewEventsModel:
true
Cuerpo de solicitud
None
Ejemplo de solicitud
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId}&EventType={EventType}&PageSize={PageSize}&PageNumber={PageNumber} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
Parámetro de URI
Puede usar los siguientes parámetros de consulta opcionales al crear la solicitud.
| Nombre | Type | Obligatorio | Descripción |
|---|---|---|---|
| EventStatus | string | No | Estado de la alerta de fraude. Está activo, resuelto o investigando. |
| SubscriptionId | string | No | Identificador de suscripción de Azure, en el que se consultan las actividades fraudulentas. |
| EventType | string | No | El tipo de alerta de fraude está asociado a eventos de fraude. Disponible con el encabezado X-NewEventsModel. Los valores son ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
| PageSize | int | No | El atributo de tamaño de página para la paginación es el número de registros por página. Está disponible con el encabezado X-NewEventsModel y pageNumber positivo distinto de cero. |
| PageNumber | int | No | Atributo de número de página para la paginación. Disponible con el encabezado X-NewEventsModel y pageSize positivo distinto de cero. |
Respuesta REST con el encabezado X-NewEventsModel
Si se ejecuta correctamente, el método devuelve una colección de eventos de fraude en el cuerpo de la respuesta.
Códigos de error y de respuesta correctos
Cada respuesta incluye un código de estado HTTP que indica éxito o error y otra información de depuración. Use una herramienta de seguimiento de red para leer este código, tipo de error y más parámetros. Para obtener la lista completa, consulte Códigos de error.
Ejemplo de respuesta
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved": "9999-12-31T23:59:59.9970000",
"lastObserved": "9999-12-31T23:59:59.9970000",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": { "resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]",
}
]
| Propiedad | Tipo | Descripción |
|---|---|---|
| eventTime | datetime | Hora a la que se detectó la alerta |
| EventID | string | Identificador único de la alerta |
| partnerTenantId | string | Identificador de inquilino del asociado asociado a la alerta |
| partnerFriendlyName | string | Nombre descriptivo para el inquilino del asociado. Para más información, consulte Obtención de un perfil de organización. |
| customerTenantId | string | Identificador de inquilino del cliente asociado a la alerta |
| customerFriendlyName | string | Un nombre descriptivo para el inquilino del cliente |
| subscriptionId | string | Identificador de suscripción del inquilino del cliente |
| subscriptionType | string | El tipo de suscripción del inquilino del cliente |
| entityId | string | Identificador único de la alerta |
| entityName | string | Nombre de la entidad en peligro |
| entityUrl | string | Dirección URL de entidad del recurso |
| hitCount | string | Número de conexiones detectadas entre firstObserved y lastObserved |
| catalogOfferId | string | El identificador de categoría de la oferta moderna de la suscripción |
| eventStatus | string | Estado de la alerta. Está activo, investigando o resuelto |
| serviceName | string | Nombre del servicio de Azure asociado a la alerta |
| resourceName | string | Nombre del recurso de Azure asociado a la alerta |
| resourceGroupName | string | Nombre del grupo de recursos de Azure asociado a la alerta |
| firstOccurrence | datetime | La hora de inicio del impacto de la alerta (la hora del primer evento o actividad incluida en la alerta). |
| lastOccurrence | datetime | Hora de finalización del impacto de la alerta (la hora del último evento o actividad incluida en la alerta). |
| resolvedReason | string | El motivo proporcionado por el asociado para abordar el estado de la alerta |
| resolvedOn | datetime | Hora a la que se resolvió la alerta |
| resolvedBy | string | Usuario que resolvió la alerta |
| firstObserved | datetime | La hora de inicio del impacto de la alerta (la hora del primer evento o actividad incluida en la alerta). |
| lastObserved | datetime | Hora de finalización del impacto de la alerta (la hora del último evento o actividad incluida en la alerta). |
| eventType | string | Tipo de alerta. Es ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
| severity | string | Gravedad de la alerta. Valores: Bajo, Medio, Alto |
| confidenceLevel | string | Nivel de confianza de la alerta, Valores: Bajo, Medio, Alto |
| DisplayName | string | Nombre para mostrar descriptivo de la alerta en función del tipo de alerta. |
| descripción | string | Descripción de la alerta |
| country | string | Código de país para el inquilino del asociado |
| valueAddedResellerTenantId | string | Identificador de inquilino del revendedor de valor agregado asociado al inquilino del asociado y al inquilino del cliente |
| valueAddedResellerFriendlyName | string | Un nombre descriptivo para el revendedor de valor agregado |
| subscriptionName | string | Nombre de la suscripción del inquilino del cliente |
| affectedResources | matriz json | Lista de recursos afectados. Los recursos afectados pueden estar vacíos para distintos tipos de alertas. Si es así, el asociado debe comprobar el uso y el consumo en el nivel de suscripción. |
| additionalDetails | Json (objeto) | Diccionario de otros pares clave-valores de detalles necesarios para identificar y administrar la alerta de seguridad. |
| isTest | string | Una alerta es una alerta de prueba. Es cierto o falso. |
| activityLogs | string | Registros de actividad para alertas. |