Notification de fraude Azure - Obtenir des événements de fraude
S’applique à : API espace partenaires
Cet article explique comment obtenir par programme la liste des ressources Azure affectées par les activités de fraude. Pour en savoir plus sur la détection des fraudes Azure pour les partenaires, consultez La détection et la notification de fraude Azure.
À compter de mai 2023, les partenaires pilotes peuvent utiliser cette API avec le nouveau modèle d’événements. Avec le nouveau modèle, vous pouvez obtenir de nouveaux types d’alertes à mesure qu’elles sont ajoutées au système (par exemple, l’utilisation anormale du calcul, l’exploration de données de chiffrement, l’utilisation d’Azure Machine Learning et les notifications d’avis d’intégrité du service).
Prérequis
- Informations d’identification, comme décrit dans Authentification auprès de l’Espace partenaires. Ce scénario prend en charge l’authentification avec les informations d’identification de l’application et de l’utilisateur.
Demande REST
Syntaxe de la requête
Method | URI de demande |
---|---|
GET | {baseURL}/v1/fraudEvents> |
En-têtes de requête
- Pour plus d’informations, consultez En-têtes REST de l’Espace Partenaires.
Corps de demande
Aucune
Exemple de requête
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
Paramètre d’URI
Vous pouvez utiliser les paramètres de requête facultatifs suivants lors de la création de la requête.
Nom | Type | Requise | Description |
---|---|---|---|
EventStatus | string | Non | L’état de l’alerte de fraude est Actif, Résolu ou Examen. |
SubscriptionId | string | Non | ID d’abonnement Azure, qui a les activités d’exploration de données Crypro |
Réponse REST
Si elle réussit, la méthode retourne une collection d’événements de fraude dans le corps de la réponse.
Codes d’erreur et de réussite de la réponse
Chaque réponse est fournie avec un code d’état HTTP qui indique la réussite ou l’échec et d’autres informations de débogage. Utilisez un outil de suivi réseau pour lire ce code, le type d’erreur et d’autres paramètres. Pour obtenir la liste complète, consultez Codes d’erreur.
Exemple de réponse
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved" : "9999-12-31T23:59:59.9970000",
"lastObserved" : "9999-12-31T23:59:59.9970000"
}
]
Requête REST avec l’en-tête X-NewEventsModel
Syntaxe de la requête
Method | URI de demande |
---|---|
GET | [{baseURL}]/v1/fraudEvents> |
En-têtes de requête
- Pour plus d’informations, consultez En-têtes REST de l’Espace Partenaires.
- X-NewEventsModel :
true
Corps de demande
Aucune
Exemple de requête
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId}&EventType={EventType}&PageSize={PageSize}&PageNumber={PageNumber} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
Paramètre d’URI
Vous pouvez utiliser les paramètres de requête facultatifs suivants lors de la création de la requête.
Nom | Type | Requise | Description |
---|---|---|---|
EventStatus | string | Non | État de l’alerte de fraude. Il est actif, résolu ou examen. |
SubscriptionId | string | Non | L’ID d’abonnement Azure sur lequel les activités frauduleuses sont interrogées. |
EventType | string | Non | Le type d’alerte de fraude est associé aux événements de fraude. Disponible avec l’en-tête X-NewEventsModel. Les valeurs sont ServiceHealthSecurity Advisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
PageSize | int | Non | L’attribut de taille de page pour la pagination est le nombre d’enregistrements par page. Il est disponible avec l’en-tête X-NewEventsModel et le numéro De PageNumber positif différent de zéro. |
PageNumber | int | Non | Attribut numéro de page pour la pagination. Disponible avec l’en-tête X-NewEventsModel et la valeur PageSize non positive différente de zéro. |
Réponse REST avec l’en-tête X-NewEventsModel
Si elle réussit, la méthode retourne une collection d’événements de fraude dans le corps de la réponse.
Codes d’erreur et de réussite de la réponse
Chaque réponse est fournie avec un code d’état HTTP qui indique la réussite ou l’échec et d’autres informations de débogage. Utilisez un outil de suivi réseau pour lire ce code, le type d’erreur et d’autres paramètres. Pour obtenir la liste complète, consultez Codes d’erreur.
Exemple de réponse
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved": "9999-12-31T23:59:59.9970000",
"lastObserved": "9999-12-31T23:59:59.9970000",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": { "resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]",
}
]
Propriété | Type | Description |
---|---|---|
eventTime | DATETIME | Heure à laquelle l’alerte a été détectée |
ID événement | string | Identificateur unique de l’alerte |
partnerTenantId | string | ID de locataire du partenaire associé à l’alerte |
partnerFriendlyName | string | Nom convivial du locataire partenaire. Pour en savoir plus, consultez Obtenir un profil d’organisation. |
customerTenantId | string | ID de locataire du client associé à l’alerte |
customerFriendlyName | string | Nom convivial du locataire client |
subscriptionId | string | ID d’abonnement du client |
subscriptionType | string | Type d’abonnement du client |
entityId | string | Identificateur unique de l’alerte |
entityName | string | Nom de l’entité compromise |
entityUrl | string | URL de l’entité de la ressource |
hitCount | string | Nombre de connexions détectées entre firstObserved et lastObserved |
catalogOfferId | string | ID de catégorie d’offre moderne de l’abonnement |
eventStatus | string | État de l’alerte. Il est actif, examen ou résolu |
serviceName | string | Nom du service Azure associé à l’alerte |
resourceName | string | Nom de la ressource Azure associée à l’alerte |
resourceGroupName | string | Nom du groupe de ressources Azure associé à l’alerte |
firstOccurrence | DATETIME | Heure de début de l’alerte d’impact (heure du premier événement ou activité inclus dans l’alerte). |
lastOccurrence | DATETIME | Heure de fin de l’impact de l’alerte (heure du dernier événement ou activité inclus dans l’alerte). |
resolvedReason | string | Raison fournie par le partenaire pour répondre à l’état de l’alerte |
resolvedOn | DATETIME | Heure à laquelle l’alerte a été résolue |
resolvedBy | string | Utilisateur qui a résolu l’alerte |
firstObserved | DATETIME | Heure de début de l’alerte d’impact (heure du premier événement ou activité inclus dans l’alerte). |
lastObserved | DATETIME | Heure de fin de l’impact de l’alerte (heure du dernier événement ou activité inclus dans l’alerte). |
eventType | string | Type d’alerte. Il s’agit de ServiceHealthSecurity Advisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
gravité | string | Gravité de l’alerte. Valeurs : Faible, Moyen, Élevé |
confidenceLevel | string | Niveau de confiance de l’alerte, Valeurs - Faible, Moyen, Élevé |
displayName | string | Nom complet convivial de l’alerte en fonction du type d’alerte. |
description | string | Description de l’alerte |
country | string | Code de pays pour le locataire partenaire |
valueAddedResellerTenantId | string | ID de locataire du revendeur ajouté à valeur ajoutée associé au locataire partenaire et au locataire client |
valueAddedResellerFriendlyName | string | Nom convivial du revendeur à valeur ajoutée |
subscriptionName | string | Nom de l’abonnement du client |
affectedResources | json Array | Liste des ressources affectées. Les ressources affectées peuvent être vides pour différents types d’alertes. Si c’est le cas, le partenaire doit vérifier l’utilisation et la consommation au niveau de l’abonnement. |
additionalDetails | Json, objet | Dictionnaire d’autres paires clé-valeurs détaillées requises pour identifier et gérer l’alerte de sécurité. |
isTest | string | Une alerte est une alerte de test. C’est vrai ou faux. |
activityLogs | string | Journaux d’activité pour l’alerte. |