Azure の不正アクセス通知 - 不正行為イベントの状態を更新する
に適用: パートナー センター API
報告された各 Azure リソースの不正行為アクティビティを調査し、その動作を不正または正当と判断した後、この API を使用して、不正行為イベントの状態を適切な理由で更新できます。
手記
この API はイベントの状態のみを更新し、CSP パートナーに代わって不正行為のアクティビティを解決しません。
2023 年 5 月の時点で、パイロット パートナーは New Events Modelでこの API を使用できます。 新しいモデルでは、システムに追加された新しい種類のアラート (異常なコンピューティング使用量、暗号化マイニング、Azure Machine Learning の使用状況、サービス正常性アドバイザリ通知など) を更新できます。
前提 条件
- パートナー センター認証で説明されている資格情報。 このシナリオでは、App+User 資格情報を使用した認証がサポートされています。
REST 要求
要求構文
| 方式 | 要求 URI |
|---|---|
| POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
要求ヘッダー
要求本文
何一つ。
要求の例
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI パラメーター
要求を作成するときは、次の省略可能なクエリ パラメーターを使用します。
| 名前 | Type | 必須 | 説明 |
|---|---|---|---|
SubscriptionId |
糸 | はい | Crypro マイニング アクティビティを含む Azure サブスクリプション ID |
要求本文
| 財産 | Type | 必須 | 説明 |
|---|---|---|---|
eventIds |
文字列[] | いいえ | 指定されたサブスクリプション ID ですべての不正行為イベントの状態を更新する場合は、eventIds を空のままにします |
eventStatus |
糸 | いいえ | 不正アクセスのアラートの状態。 それは アクティブ、解決済み、または 調査中のいずれかです。 |
resolvedReason |
糸 | はい | 不正アクセスイベントが解決したら、適切な理由コードを設定します。受け入れられる理由コードは Fraud または Ignore です |
REST 応答
成功した場合、このメソッドは応答本文で Fraud イベントのコレクションを返します。
応答の成功とエラー コード
各応答には、成功または失敗とより多くのデバッグ情報を示す HTTP 状態コードが付属しています。 ネットワーク トレース ツールを使用して、このコード、エラーの種類、その他のパラメーターを読み取ります。 完全な一覧については、「エラー コード
応答の例
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com"
}
]
X-NewEventsModel ヘッダーを使用した REST 要求
要求構文
| メソッドリクエスト | URI |
|---|---|
| で を POST する | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
要求ヘッダー
- X-NewEventsModel: true
- 詳細については、パートナー センター REST ヘッダー
を参照してください。
要求本文
{
"EventIds": ["string"],
"EventStatus": "Resolved",
"ResolvedReason": "Fraud"
}
要求の例
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI パラメーター
要求を作成するときは、次の省略可能なクエリ パラメーターを使用します。
| 名前 | Type | 必須 | 説明 |
|---|---|---|---|
SubscriptionId |
糸 | はい | Crypro マイニング アクティビティを含む Azure サブスクリプション ID |
要求本文
| 財産 | Type | 必須 | 説明 |
|---|---|---|---|
eventIds |
文字列[] | いいえ | 指定 サブスクリプション ID の下にあるすべての不正行為イベントの状態を更新する場合は、eventIds を空のままにします |
eventStatus |
糸 | はい | これを [解決] に設定して不正イベントを解決するか、調査 に設定して不正イベントを調査します。 |
resolvedReason |
糸 | はい | 不正アクセスイベントが解決したら、適切な理由コードを設定します。受け入れられる理由コードは Fraud または Ignore です |
REST 応答
成功した場合、このメソッドは、応答本文に拡張属性を持つ Fraud イベントのコレクションを返します。
応答の成功とエラー コード
各応答には、成功または失敗とより多くのデバッグ情報を示す HTTP 状態コードが付属しています。 ネットワーク トレース ツールを使用して、このコード、エラーの種類、その他のパラメーターを読み取ります。 完全な一覧については、「エラー コード」を参照してください。
応答の例
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": {
"resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]"
}
}
]
| 財産 | Type | 説明 |
|---|---|---|
eventTime |
datetime | アラートが検出された時刻 |
eventId |
糸 | アラートの一意の識別子 |
partnerTenantId |
糸 | アラートに関連付けられているパートナーのテナント ID |
partnerFriendlyName |
糸 | パートナー テナントのわかりやすい名前 |
customerTenantId |
糸 | アラートに関連付けられている顧客のテナント ID |
customerFriendlyName |
糸 | 顧客テナントの親しみやすい名前 |
subscriptionId |
糸 | 顧客テナントのサブスクリプション ID |
subscriptionType |
糸 | 顧客テナントのサブスクリプションの種類 |
entityId |
糸 | アラートの一意の識別子 |
entityName |
糸 | 侵害されたエンティティの名前 |
entityUrl |
糸 | リソースのエンティティ URL |
hitCount |
糸 | firstObserved と lastObserved の間で検出された接続の数 |
catalogOfferId |
糸 | サブスクリプションの現代オファーカテゴリーID |
eventStatus |
糸 | アラートの状態: アクティブ、調査中、または解決済み |
serviceName |
糸 | アラートに関連付けられている Azure サービスの名前 |
resourceName |
糸 | アラートに関連付けられている Azure リソースの名前 |
resourceGroupName |
糸 | アラートに関連付けられている Azure リソース グループの名前 |
firstOccurrence |
datetime | アラートの影響の開始時刻 (アラートに含まれる最初のイベントまたはアクティビティの時刻) |
lastOccurrence |
datetime | アラートの影響終了時刻 (アラートに含まれる最後のイベントまたはアクティビティの時刻) |
resolvedReason |
糸 | アラートの状態に対処するためにパートナーから提供された理由 |
resolvedOn |
datetime | アラートが解決された時刻 |
resolvedBy |
糸 | アラートを解決したユーザー |
firstObserved |
datetime | アラートの影響の開始時刻 (アラートに含まれる最初のイベントまたはアクティビティの時刻) |
lastObserved |
datetime | アラートの影響終了時刻 (アラートに含まれる最後のイベントまたはアクティビティの時刻) |
eventType |
糸 | アラートの種類: ServiceHealthSecurityAdvisory、UsageAnomalyDetection、MultiRegionVirtualMachineScaleSetDeploymentAnomaly、NetworkConnectionsToCryptoMiningPools、VirtualMachineDeploymentAnomaly、MultiRegionMachineLearningUsageAnomaly |
severity |
糸 | アラートの重大度 (値: 低、中、高) |
confidenceLevel |
糸 | アラートの信頼度レベル (値: 低、中、高) |
displayName |
糸 | アラートの種類に応じて、アラートのわかりやすい表示名 |
description |
糸 | アラートの説明 |
country |
糸 | パートナー テナントの国コード |
valueAddedResellerTenantId |
糸 | パートナー テナントと顧客テナントに関連付けられている付加価値リセラーのテナント ID |
valueAddedResellerFriendlyName |
糸 | 付加価値リセラーの親しみやすい名前 |
subscriptionName |
糸 | 顧客テナントのサブスクリプション名 |
affectedResources |
JSON 配列 | 影響を受けるリソースの一覧。影響を受けるリソースは、異なるアラートの種類に対して空である可能性があります。その場合、パートナーはサブスクリプション レベルで使用状況と使用量を確認する必要があります |
additionalDetails |
Json オブジェクト | セキュリティ アラートの識別と管理に必要なその他の詳細キーと値のペアのディクショナリ |
isTest |
糸 | テスト用にアラートが生成された場合は、true |
activityLogs |
糸 | アラートのアクティビティ ログ |