Azure の不正アクセス通知 - 不正行為イベントを取得する
適用対象: パートナー センター API
この記事では、不正行為の影響を受ける Azure リソースの一覧をプログラムで取得する方法について説明します。 パートナー向けの Azure 不正行為の検出の詳細については、「 Azure の不正行為の検出と通知を参照してください。
2023 年 5 月の時点で、パイロット パートナーは、 New イベント モデルでこの API を使用できます。 新しいモデルでは、システムに追加された新しい種類のアラート (異常なコンピューティング使用量、暗号化マイニング、Azure Machine Learning の使用状況、サービス正常性アドバイザリ通知など) を取得できます。
前提条件
- パートナー センターの認証に関するページで説明している資格情報。 このシナリオでは、アプリとユーザーの資格情報を使用した認証がサポートされます。
REST 要求
要求の構文
| 認証方法 | 要求 URI |
|---|---|
| GET | {baseURL}/v1/fraudEvents> |
要求ヘッダー
- 詳細については、「パートナー センター REST ヘッダー」を参照してください。
要求本文
なし
要求の例
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
URI パラメーター
要求の作成時に、次の省略可能なクエリ パラメーターを使用できます。
| 名前 | タイプ | Required | 説明 |
|---|---|---|---|
| EventStatus | string | いいえ | 不正アクセスアラートの状態は、 Active、 Resolved または Investigatingです。 |
| SubscriptionId | string | いいえ | Crypro マイニング アクティビティを含む Azure サブスクリプション ID |
REST 応答
成功した場合、メソッドは応答本文で詐欺イベントのコレクションを返します。
応答の成功とエラーのコード
各応答には、成功または失敗とその他のデバッグ情報を示す HTTP 状態コードが付属しています。 ネットワーク トレース ツールを使用して、このコード、エラーの種類、その他のパラメーターを読み取ります。 完全な一覧については、エラー コードに関するページを参照してください。
応答の例
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved" : "9999-12-31T23:59:59.9970000",
"lastObserved" : "9999-12-31T23:59:59.9970000"
}
]
X-NewEventsModel ヘッダーを使用した REST 要求
要求の構文
| 認証方法 | 要求 URI |
|---|---|
| GET | [{baseURL}]/v1/fraudEvents> |
要求ヘッダー
- 詳細については、「パートナー センター REST ヘッダー」を参照してください。
- X-NewEventsModel:
true
要求本文
なし
要求の例
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId}&EventType={EventType}&PageSize={PageSize}&PageNumber={PageNumber} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
URI パラメーター
要求の作成時に、次の省略可能なクエリ パラメーターを使用できます。
| 名前 | タイプ | Required | 説明 |
|---|---|---|---|
| EventStatus | string | いいえ | 不正アクセスのアラートの状態。 Active、Resolved または Investigating。 |
| SubscriptionId | string | いいえ | 不正なアクティビティが含まれる Azure サブスクリプション ID が照会されます。 |
| EventType | string | いいえ | 不正行為のアラートの種類は、不正行為イベントに関連付けられています。 X-NewEventsModel ヘッダーで使用できます。 値は ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
| PageSize | int | いいえ | 改ページのページ サイズ属性は、ページあたりのレコード数です。 X-NewEventsModel ヘッダーと 0 以外の正の PageNumber で使用できます。 |
| PageNumber | int | いいえ | 改ページのページ番号属性。 X-NewEventsModel ヘッダーと 0 以外の正の PageSize で使用できます。 |
X-NewEventsModel ヘッダーを使用した REST 応答
成功した場合、メソッドは応答本文で詐欺イベントのコレクションを返します。
応答の成功とエラーのコード
各応答には、成功または失敗とその他のデバッグ情報を示す HTTP 状態コードが付属しています。 ネットワーク トレース ツールを使用して、このコード、エラーの種類、その他のパラメーターを読み取ります。 完全な一覧については、エラー コードに関するページを参照してください。
応答の例
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved": "9999-12-31T23:59:59.9970000",
"lastObserved": "9999-12-31T23:59:59.9970000",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": { "resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]",
}
]
| プロパティ | タイプ | 説明 |
|---|---|---|
| eventTime | datetime | アラートが検出された時刻 |
| eventId | string | アラートの一意識別子 |
| partnerTenantId | string | アラートに関連付けられているパートナーのテナント ID |
| partnerFriendlyName | string | パートナー テナントのフレンドリ名。 詳細については、「 組織プロファイルを取得するを参照してください。 |
| customerTenantId | string | アラートに関連付けられている顧客のテナント ID |
| customerFriendlyName | string | 顧客テナントのフレンドリ名 |
| subscriptionId | string | 顧客テナントのサブスクリプション ID |
| subscriptionType | string | 顧客テナントのサブスクリプションの種類 |
| entityId | string | アラートの一意識別子 |
| entityName | string | 侵害されたエンティティの名前 |
| entityUrl | string | リソースのエンティティ URL |
| hitCount | string | firstObserved と lastObserved の間で検出された接続の数 |
| catalogOfferId | string | サブスクリプションのモダン オファー カテゴリ ID |
| eventStatus | string | アラートの状態です。 Active、Investigating または Resolved |
| serviceName | string | アラートに関連付けられている Azure サービスの名前 |
| resourceName | string | アラートに関連付けられている Azure リソースの名前 |
| resourceGroupName | string | アラートに関連付けられている Azure リソース グループの名前 |
| firstOccurrence | datetime | アラートの影響の開始時刻 (アラートに含まれる最初のイベントまたはアクティビティの時刻)。 |
| lastOccurrence | datetime | アラートの影響終了時刻 (アラートに含まれる最後のイベントまたはアクティビティの時刻)。 |
| resolvedReason | string | アラートの状態に対処するためにパートナーから提供された理由 |
| resolvedOn | datetime | アラートが解決された時刻 |
| resolvedBy | string | アラートを解決したユーザー |
| firstObserved | datetime | アラートの影響の開始時刻 (アラートに含まれる最初のイベントまたはアクティビティの時刻)。 |
| lastObserved | datetime | アラートの影響終了時刻 (アラートに含まれる最後のイベントまたはアクティビティの時刻)。 |
| eventType | string | アラートの種類。 ServiceHealthSecurityAdvisoryです。 UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
| severity | string | アラートの重大度。 値: 低、中、高 |
| confidenceLevel | string | アラートの信頼度レベル、値 - 低、中、高 |
| displayName | string | アラートの種類に応じて、アラートのわかりやすい表示名。 |
| description | string | アラートの説明 |
| country | string | パートナー テナントの国コード |
| valueAddedResellerTenantId | string | パートナー テナントと顧客テナントに関連付けられている付加価値リセラーのテナント ID |
| valueAddedResellerFriendlyName | string | 付加価値リセラーのフレンドリ名 |
| subscriptionName | string | 顧客テナントのサブスクリプション名 |
| affectedResources | json 配列 | 影響を受けるリソースの一覧。 影響を受けるリソースは、アラートの種類ごとに空である可能性があります。 その場合、パートナーはサブスクリプション レベルで使用状況と消費量を確認する必要があります。 |
| additionalDetails | Json オブジェクト | セキュリティ アラートの識別と管理に必要なその他の詳細キーと値のペアのディクショナリ。 |
| isTest | string | アラートはテスト アラートです。 これは true または falseです。 |
| activityLogs | string | アラートのアクティビティ ログ。 |