Azure-fraudemelding - Status van fraudegebeurtenis bijwerken
Van toepassing op: Partnercentrum-API
Nadat u de fraudeactiviteiten voor elke gerapporteerde Azure-resource hebt onderzocht en het gedrag hebt vastgesteld als frauduleus of legitiem, kunt u deze API gebruiken om de status van de fraudegebeurtenis met de juiste reden bij te werken.
Notitie
Met deze API wordt alleen de gebeurtenisstatus bijgewerkt. De fraudeactiviteit wordt niet opgelost namens CSP-partners.
Vanaf mei 2023 kunnen testpartners deze API gebruiken met het nieuwe gebeurtenissenmodel. Met het nieuwe model kunt u nieuwe typen waarschuwingen bijwerken wanneer deze worden toegevoegd aan het systeem, bijvoorbeeld afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en servicestatusadviesmeldingen.
Vereisten
- Referenties zoals beschreven in verificatie in partnercentrum. Dit scenario ondersteunt verificatie met app+gebruikersreferenties.
REST-aanvraag
Aanvraagsyntaxis
Wijze | Aanvraag-URI |
---|---|
POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
Aanvraagheaders
- Zie Rest-headers in Partnercentrum voor meer informatie.
Aanvraagtekst
Geen.
Aanvraagvoorbeeld
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI-parameter
Gebruik de volgende optionele queryparameters bij het maken van de aanvraag.
Naam | Type | Vereist | Beschrijving |
---|---|---|---|
SubscriptionId | tekenreeks | Ja | De Azure-abonnements-id, met de Crypro-mining-activiteiten |
Aanvraagtekst
Eigenschappen | Type | Vereist | Beschrijving |
---|---|---|---|
eventIds | tekenreeks[] | No | Houd eventIds leeg als u de status wilt bijwerken voor alle fraude-gebeurtenissen onder de opgegeven abonnements-id |
eventStatus | tekenreeks | Nee | De status van de fraudewaarschuwing. Dit kan actief, opgelost of onderzoeken zijn. |
resolvedReason | tekenreeks | Ja | Wanneer fraude is opgelost, stelt u een geschikte redencode in, dan zijn de geaccepteerde redencodes Fraude of Negeren |
REST-antwoord
Als dit lukt, retourneert deze methode een verzameling fraude-gebeurtenissen in de antwoordtekst.
Geslaagde antwoorden en foutcodes
Elk antwoord wordt geleverd met een HTTP-statuscode die aangeeft dat het succes of de fout optreedt en meer informatie over foutopsporing. Gebruik een hulpprogramma voor netwerktracering om deze code, het fouttype en meer parameters te lezen. Zie Foutcodes voor de volledige lijst.
Responsvoorbeeld
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com"
}
]
REST-aanvraag met de header X-NewEventsModel
Aanvraagsyntaxis
MethodRequest | URI |
---|---|
POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
Aanvraagheaders
- X-NewEventsModel: true
- Zie Rest-headers in Partnercentrum voor meer informatie.
Aanvraagtekst
{
"EventIds": ["string"],
"EventStatus": "Resolved",
"ResolvedReason": "Fraud"
}
Aanvraagvoorbeeld
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI-parameter
Gebruik de volgende optionele queryparameters bij het maken van de aanvraag.
Naam | Type | Vereist | Beschrijving |
---|---|---|---|
SubscriptionId | tekenreeks | Ja | De Azure-abonnements-id, met de Crypro-mining-activiteiten |
Aanvraagtekst
Eigenschappen | Type | Vereist | Beschrijving |
---|---|---|---|
eventIds | tekenreeks[] | No | Houd eventIds leeg als u de status wilt bijwerken voor alle fraude-gebeurtenissen onder de opgegeven abonnements-id |
eventStatus | tekenreeks | Ja | Stel deze in op Oplossen om de fraude-gebeurtenis op te lossen of stel deze in op Onderzoeken om een fraude-gebeurtenis te onderzoeken. |
resolvedReason | tekenreeks | Ja | Wanneer fraude is opgelost, stelt u een geschikte redencode in, dan zijn de geaccepteerde redencodes Fraude of Negeren |
REST-antwoord
Als dit lukt, retourneert deze methode een verzameling fraude-gebeurtenissen met uitgebreide kenmerken in de hoofdtekst van het antwoord.
Geslaagde antwoorden en foutcodes
Elk antwoord wordt geleverd met een HTTP-statuscode die aangeeft dat het succes of de fout optreedt en meer informatie over foutopsporing. Gebruik een hulpprogramma voor netwerktracering om deze code, het fouttype en meer parameters te lezen. Zie Foutcodes voor de volledige lijst.
Responsvoorbeeld
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": {
"resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]"
}
}
]
Eigenschappen | Type | Omschrijving |
---|---|---|
eventTime | datum/tijd | Het tijdstip waarop de waarschuwing is gedetecteerd |
eventId | tekenreeks | De unieke id voor de waarschuwing |
partnerTenantId | tekenreeks | De tenant-id van de partner die is gekoppeld aan de waarschuwing |
partnerFriendlyName | tekenreeks | Een beschrijvende naam voor de partnertenant |
customerTenantId | tekenreeks | De tenant-id van de klant die is gekoppeld aan de waarschuwing |
customerFriendlyName | tekenreeks | Een beschrijvende naam voor de tenant van de klant |
subscriptionId | tekenreeks | De abonnements-id van de tenant van de klant |
subscriptionType | tekenreeks | Het abonnementstype van de tenant van de klant |
entityId | tekenreeks | De unieke id voor de waarschuwing |
entityName | tekenreeks | De naam van de entiteit die is aangetast |
entityUrl | tekenreeks | De entiteits-URL van de resource |
hitCount | tekenreeks | Het aantal gedetecteerde verbindingen tussen firstObserved en lastObserved |
catalogOfferId | tekenreeks | De id van de moderne aanbiedingscategorie van het abonnement |
eventStatus | tekenreeks | De status van de waarschuwing: Actief, Onderzoeken of Opgelost |
Servicenaam | tekenreeks | De naam van de Azure-service die is gekoppeld aan de waarschuwing |
resourceName | tekenreeks | De naam van de Azure-resource die is gekoppeld aan de waarschuwing |
resourceGroupName | tekenreeks | De naam van de Azure-resourcegroep die is gekoppeld aan de waarschuwing |
firstOccurrence | datum/tijd | De begintijd van de impact van de waarschuwing (de tijd van de eerste gebeurtenis of activiteit die is opgenomen in de waarschuwing). |
lastOccurrence | datum/tijd | De eindtijd van de waarschuwing (de tijd van de laatste gebeurtenis of activiteit die in de waarschuwing is opgenomen). |
resolvedReason | tekenreeks | De reden die de partner heeft gegeven om de waarschuwingsstatus aan te pakken |
resolvedOn | datum/tijd | Het tijdstip waarop de waarschuwing is opgelost |
resolvedBy | tekenreeks | De gebruiker die de waarschuwing heeft opgelost |
firstObserved | datum/tijd | De begintijd van de impact van de waarschuwing (de tijd van de eerste gebeurtenis of activiteit die is opgenomen in de waarschuwing). |
lastObserved | datum/tijd | De eindtijd van de waarschuwing (de tijd van de laatste gebeurtenis of activiteit die in de waarschuwing is opgenomen). |
eventType | tekenreeks | Het type waarschuwing: ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, Network Verbinding maken ionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
ernst | tekenreeks | De ernst van de waarschuwing. Waarden: Laag, Gemiddeld, Hoog |
confidenceLevel | tekenreeks | Het betrouwbaarheidsniveau van de waarschuwing, Waarden- Laag, Gemiddeld, Hoog |
displayName | tekenreeks | Een gebruiksvriendelijke weergavenaam voor de waarschuwing, afhankelijk van het waarschuwingstype. |
beschrijving | tekenreeks | Een beschrijving van de waarschuwing |
land | tekenreeks | De landcode voor de partnertenant |
valueAddedResellerTenantId | tekenreeks | De tenant-id van de toegevoegde waarde reseller die is gekoppeld aan de partnertenant en de tenant van de klant |
valueAddedResellerFriendlyName | tekenreeks | Een beschrijvende naam voor de toegevoegde waarde reseller |
subscriptionName | tekenreeks | De abonnementsnaam van de tenant van de klant |
betrokkenresources | json-matrix | De lijst met betrokken resources. Betrokken resources zijn mogelijk leeg voor verschillende waarschuwingstypen. Zo ja, dan moet de partner het gebruik en verbruik op abonnementsniveau controleren. |
additionalDetails | Json-object | Een woordenlijst met andere sleutel-waardenparen voor details die vereist zijn voor het identificeren en beheren van de beveiligingswaarschuwing. |
isTest | tekenreeks | Als er een waarschuwing wordt gegenereerd voor de test, wordt deze ingesteld op waar of anders onwaar. |
activityLogs | tekenreeks | Activiteitenlogboeken voor waarschuwingen. |