Azure-fraudemelding - Fraudegebeurtenissen ophalen
Van toepassing op: Partnercentrum-API
In dit artikel wordt uitgelegd hoe u programmatisch de lijst met Azure-resources kunt ophalen die worden beïnvloed door fraudeactiviteiten. Zie azure-fraudedetectie en -meldingen voor meer informatie over fraudedetectie van Azure-partners.
Vanaf mei 2023 kunnen testpartners deze API gebruiken met het nieuwe gebeurtenissenmodel. Met het nieuwe model kunt u nieuwe typen waarschuwingen krijgen wanneer deze worden toegevoegd aan het systeem (bijvoorbeeld afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en servicestatusadviesmeldingen).
Vereisten
- Referenties zoals beschreven in verificatie in partnercentrum. Dit scenario ondersteunt verificatie met app+gebruikersreferenties.
REST-aanvraag
Aanvraagsyntaxis
Wijze | Aanvraag-URI |
---|---|
GET | {baseURL}/v1/fraudEvents> |
Aanvraagheaders
- Zie Rest-headers in Partnercentrum voor meer informatie.
Aanvraagtekst
Geen
Aanvraagvoorbeeld
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
URI-parameter
U kunt de volgende optionele queryparameters gebruiken bij het maken van de aanvraag.
Name | Type | Vereist | Beschrijving |
---|---|---|---|
EventStatus | tekenreeks | Nee | De status van de fraudewaarschuwing, is actief, opgelost of wordt onderzocht. |
SubscriptionId | tekenreeks | Nee | De Azure-abonnements-id, met de Crypro-mining-activiteiten |
REST-antwoord
Als dit lukt, retourneert de methode een verzameling fraude-gebeurtenissen in de antwoordtekst.
Geslaagde antwoorden en foutcodes
Elk antwoord wordt geleverd met een HTTP-statuscode die aangeeft dat de fout is geslaagd of mislukt en andere informatie over foutopsporing. Gebruik een hulpprogramma voor netwerktracering om deze code, het fouttype en meer parameters te lezen. Zie Foutcodes voor de volledige lijst.
Responsvoorbeeld
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved" : "9999-12-31T23:59:59.9970000",
"lastObserved" : "9999-12-31T23:59:59.9970000"
}
]
REST-aanvraag met de header X-NewEventsModel
Aanvraagsyntaxis
Wijze | Aanvraag-URI |
---|---|
GET | [{baseURL}]/v1/fraudEvents> |
Aanvraagheaders
- Zie Rest-headers in Partnercentrum voor meer informatie.
- X-NewEventsModel:
true
Aanvraagtekst
Geen
Aanvraagvoorbeeld
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId}&EventType={EventType}&PageSize={PageSize}&PageNumber={PageNumber} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
URI-parameter
U kunt de volgende optionele queryparameters gebruiken bij het maken van de aanvraag.
Name | Type | Vereist | Beschrijving |
---|---|---|---|
EventStatus | tekenreeks | Nee | De status van de fraudewaarschuwing. Het is actief, opgelost of wordt onderzocht. |
SubscriptionId | tekenreeks | Nee | De Azure-abonnements-id waarop de frauduleuze activiteiten worden opgevraagd. |
EventType | tekenreeks | Nee | Het type fraudewaarschuwing is gekoppeld aan fraude-gebeurtenissen. Beschikbaar met X-NewEventsModel-header. Waarden zijn ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
PageSize | int | Nee | Het kenmerk paginaformaat voor paginering is het aantal records per pagina. Het is beschikbaar met X-NewEventsModel header en nonzero positive PageNumber. |
PageNumber | int | Nee | Het paginanummerkenmerk voor paginering. Beschikbaar met X-NewEventsModel header en nonzero positive PageSize. |
REST-antwoord met de header X-NewEventsModel
Als dit lukt, retourneert de methode een verzameling fraude-gebeurtenissen in de antwoordtekst.
Geslaagde antwoorden en foutcodes
Elk antwoord wordt geleverd met een HTTP-statuscode die aangeeft dat de fout is geslaagd of mislukt en andere informatie over foutopsporing. Gebruik een hulpprogramma voor netwerktracering om deze code, het fouttype en meer parameters te lezen. Zie Foutcodes voor de volledige lijst.
Responsvoorbeeld
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved": "9999-12-31T23:59:59.9970000",
"lastObserved": "9999-12-31T23:59:59.9970000",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": { "resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]",
}
]
Eigenschap | Type | Description |
---|---|---|
eventTime | datetime | Het tijdstip waarop de waarschuwing is gedetecteerd |
eventId | tekenreeks | De unieke id voor de waarschuwing |
partnerTenantId | tekenreeks | De tenant-id van de partner die is gekoppeld aan de waarschuwing |
partnerFriendlyName | tekenreeks | Een beschrijvende naam voor de partnertenant. Zie Een organisatieprofiel ophalen voor meer informatie. |
customerTenantId | tekenreeks | De tenant-id van de klant die is gekoppeld aan de waarschuwing |
customerFriendlyName | tekenreeks | Een beschrijvende naam voor de tenant van de klant |
subscriptionId | tekenreeks | De abonnements-id van de tenant van de klant |
subscriptionType | tekenreeks | Het abonnementstype van de tenant van de klant |
entityId | tekenreeks | De unieke id voor de waarschuwing |
entityName | tekenreeks | De naam van de entiteit die is aangetast |
entityUrl | tekenreeks | De entiteits-URL van de resource |
hitCount | tekenreeks | Het aantal gedetecteerde verbindingen tussen firstObserved en lastObserved |
catalogOfferId | tekenreeks | De id van de moderne aanbiedingscategorie van het abonnement |
eventStatus | tekenreeks | De status van de waarschuwing. Het is actief, onderzoeken of opgelost |
serviceName | tekenreeks | De naam van de Azure-service die is gekoppeld aan de waarschuwing |
resourceName | tekenreeks | De naam van de Azure-resource die is gekoppeld aan de waarschuwing |
resourceGroupName | tekenreeks | De naam van de Azure-resourcegroep die is gekoppeld aan de waarschuwing |
firstOccurrence | datetime | De begintijd van de impact van de waarschuwing (de tijd van de eerste gebeurtenis of activiteit die is opgenomen in de waarschuwing). |
lastOccurrence | datetime | De eindtijd van de waarschuwing (de tijd van de laatste gebeurtenis of activiteit die in de waarschuwing is opgenomen). |
resolvedReason | tekenreeks | De reden die de partner heeft gegeven om de waarschuwingsstatus aan te pakken |
resolvedOn | datetime | Het tijdstip waarop de waarschuwing is opgelost |
resolvedBy | tekenreeks | De gebruiker die de waarschuwing heeft opgelost |
firstObserved | datetime | De begintijd van de impact van de waarschuwing (de tijd van de eerste gebeurtenis of activiteit die is opgenomen in de waarschuwing). |
lastObserved | datetime | De eindtijd van de waarschuwing (de tijd van de laatste gebeurtenis of activiteit die in de waarschuwing is opgenomen). |
eventType | tekenreeks | Het type waarschuwing. Het is ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
ernst | tekenreeks | De ernst van de waarschuwing. Waarden: Laag, Gemiddeld, Hoog |
confidenceLevel | tekenreeks | Het betrouwbaarheidsniveau van de waarschuwing, Waarden- Laag, Gemiddeld, Hoog |
displayName | tekenreeks | Een gebruiksvriendelijke weergavenaam voor de waarschuwing, afhankelijk van het waarschuwingstype. |
beschrijving | tekenreeks | Een beschrijving van de waarschuwing |
land | tekenreeks | De landcode voor de partnertenant |
valueAddedResellerTenantId | tekenreeks | De tenant-id van de toegevoegde waarde reseller die is gekoppeld aan de partnertenant en de tenant van de klant |
valueAddedResellerFriendlyName | tekenreeks | Een beschrijvende naam voor de toegevoegde waarde reseller |
subscriptionName | tekenreeks | De abonnementsnaam van de tenant van de klant |
betrokkenresources | json-matrix | De lijst met betrokken resources. Betrokken resources zijn mogelijk leeg voor verschillende waarschuwingstypen. Zo ja, dan moet de partner het gebruik en verbruik op abonnementsniveau controleren. |
additionalDetails | Json-object | Een woordenlijst met andere sleutel-waardenparen voor details die vereist zijn voor het identificeren en beheren van de beveiligingswaarschuwing. |
isTest | tekenreeks | Een waarschuwing is een testwaarschuwing. Het is waar of onwaar. |
activityLogs | tekenreeks | Activiteitenlogboeken voor waarschuwingen. |