Delen via


Azure-fraudemelding - Status van fraudegebeurtenis bijwerken

Van toepassing op: Partnercentrum-API

Nadat u de fraudeactiviteiten voor elke gerapporteerde Azure-resource hebt onderzocht en het gedrag hebt vastgesteld als frauduleus of legitiem, kunt u deze API gebruiken om de status van de fraudegebeurtenis met de juiste reden bij te werken.

Notitie

Met deze API wordt alleen de gebeurtenisstatus bijgewerkt. De fraudeactiviteit wordt niet opgelost namens CSP-partners.

Vanaf mei 2023 kunnen testpartners deze API gebruiken met het nieuwe gebeurtenissenmodel. Met het nieuwe model kunt u nieuwe typen waarschuwingen bijwerken wanneer deze worden toegevoegd aan het systeem, bijvoorbeeld afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en servicestatusadviesmeldingen.

Vereisten

  • Referenties zoals beschreven in verificatie in partnercentrum. Dit scenario ondersteunt verificatie met app+gebruikersreferenties.

REST-aanvraag

Aanvraagsyntaxis

Wijze Aanvraag-URI
POST {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status

Aanvraagheaders

Aanvraagtekst

Geen.

Aanvraagvoorbeeld

POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
{​

    "EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
    "EventStatus" : "Resolved",​
    "ResolvedReason": "Fraud"
}

URI-parameter

Gebruik de volgende optionele queryparameters bij het maken van de aanvraag.

Naam Type Vereist Beschrijving
SubscriptionId tekenreeks Ja De Azure-abonnements-id, met de Crypro-mining-activiteiten

Aanvraagtekst

Eigenschappen Type Vereist Beschrijving
eventIds tekenreeks[] No Houd eventIds leeg als u de status wilt bijwerken voor alle fraude-gebeurtenissen onder de opgegeven abonnements-id
eventStatus tekenreeks Nee De status van de fraudewaarschuwing. Dit kan actief, opgelost of onderzoeken zijn.
resolvedReason tekenreeks Ja Wanneer fraude is opgelost, stelt u een geschikte redencode in, dan zijn de geaccepteerde redencodes Fraude of Negeren

REST-antwoord

Als dit lukt, retourneert deze methode een verzameling fraude-gebeurtenissen in de antwoordtekst.

Geslaagde antwoorden en foutcodes

Elk antwoord wordt geleverd met een HTTP-statuscode die aangeeft dat het succes of de fout optreedt en meer informatie over foutopsporing. Gebruik een hulpprogramma voor netwerktracering om deze code, het fouttype en meer parameters te lezen. Zie Foutcodes voor de volledige lijst.

Responsvoorbeeld

HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
    {
        "eventTime": "2021-12-08T00:25:45.69",
        "eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
        "partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "partnerFriendlyName": "test partner",
        "customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "customerFriendlyName": "test customer",
        "subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "subscriptionType": "modern",
        "entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
        "entityName": "sampleentity",
        "entityUrl": "\\sample\\entity\\url",
        "hitCount": "10",
        "catalogOfferId": "ms-azr-17g",
        "eventStatus": "Resolved",
        "serviceName": "sampleservice",
        "resourceName": "sampleresource",
        "resourceGroupName": "sampleresourcegroup",
        "firstOccurrence": "2021-12-08T00:25:45.69",
        "lastOccurrence": "2021-12-08T00:25:45.69",
        "resolvedReason": "Fraud",
        "resolvedOn": "2021-12-08T11:25:45.69",
        "resolvedBy": "adminagent@test.com"
    }
]

REST-aanvraag met de header X-NewEventsModel

Aanvraagsyntaxis

MethodRequest URI
POST {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status

Aanvraagheaders

  • X-NewEventsModel: true
  • Zie Rest-headers in Partnercentrum voor meer informatie.

Aanvraagtekst


{
    "EventIds": ["string"],
    "EventStatus": "Resolved",
    "ResolvedReason": "Fraud"
}

Aanvraagvoorbeeld

POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
{
    "EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
    "EventStatus" : "Resolved",
    "ResolvedReason": "Fraud"
}

URI-parameter

Gebruik de volgende optionele queryparameters bij het maken van de aanvraag.

Naam Type Vereist Beschrijving
SubscriptionId tekenreeks Ja De Azure-abonnements-id, met de Crypro-mining-activiteiten

Aanvraagtekst

Eigenschappen Type Vereist Beschrijving
eventIds tekenreeks[] No Houd eventIds leeg als u de status wilt bijwerken voor alle fraude-gebeurtenissen onder de opgegeven abonnements-id
eventStatus tekenreeks Ja Stel deze in op Oplossen om de fraude-gebeurtenis op te lossen of stel deze in op Onderzoeken om een fraude-gebeurtenis te onderzoeken.
resolvedReason tekenreeks Ja Wanneer fraude is opgelost, stelt u een geschikte redencode in, dan zijn de geaccepteerde redencodes Fraude of Negeren

REST-antwoord

Als dit lukt, retourneert deze methode een verzameling fraude-gebeurtenissen met uitgebreide kenmerken in de hoofdtekst van het antwoord.

Geslaagde antwoorden en foutcodes

Elk antwoord wordt geleverd met een HTTP-statuscode die aangeeft dat het succes of de fout optreedt en meer informatie over foutopsporing. Gebruik een hulpprogramma voor netwerktracering om deze code, het fouttype en meer parameters te lezen. Zie Foutcodes voor de volledige lijst.

Responsvoorbeeld

HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
    {
        "eventTime": "2021-12-08T00:25:45.69",
        "eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
        "partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "partnerFriendlyName": "test partner",
        "customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "customerFriendlyName": "test customer",
        "subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "subscriptionType": "modern",
        "entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
        "entityName": "sampleentity",
        "entityUrl": "\\sample\\entity\\url",
        "hitCount": "10",
        "catalogOfferId": "ms-azr-17g",
        "eventStatus": "Resolved",
        "serviceName": "sampleservice",
        "resourceName": "sampleresource",
        "resourceGroupName": "sampleresourcegroup",
        "firstOccurrence": "2021-12-08T00:25:45.69",
        "lastOccurrence": "2021-12-08T00:25:45.69",
        "resolvedReason": "Fraud",
        "resolvedOn": "2021-12-08T11:25:45.69", 
        "resolvedBy": "adminagent@test.com",
        "eventType": "NetworkConnectionsToCryptoMiningPools",
        "severity": "Medium",
        "confidenceLevel": "high",
        "displayName": "sample display name",
        "description": "sample description.",
        "country": "US",
        "valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "valueAddedResellerFriendlyName": "Sample Reseller Name",
        "subscriptionName": "sample Subscription Name",
        "affectedResources": [
            {
                "azureResourceId": "\\sample\\resource\\url ",
                "type": "sample resource type"
            }
        ],
        "additionalDetails": {
            "resourceid": "\\sample\\resource\\id ",
            "resourcetype": "sample resource type",
            "vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
            "miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
            "connectionCount": "31",
            "cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
            },
              "IsTest": "false",
                "activityLogs": "[
                {
                    "statusFrom": "Active",
                    "statusTo": "Investigating",
                    "updatedBy": "admin@testtestcsp022.onmicrosoft.com",
                    "dateTime": "2023-07-10T12:34:27.8016635+05:30"
            },
            {
                    "statusFrom": "Investigating",
                    "statusTo": "Resolved",
                    "updatedBy": "admin@testtestcsp022.onmicrosoft.com",
                    "dateTime": "2023-07-10T12:38:26.693182+05:30"
            }
          ]"

        }
    }
]
Eigenschappen Type Omschrijving
eventTime datum/tijd Het tijdstip waarop de waarschuwing is gedetecteerd
eventId tekenreeks De unieke id voor de waarschuwing
partnerTenantId tekenreeks De tenant-id van de partner die is gekoppeld aan de waarschuwing
partnerFriendlyName tekenreeks Een beschrijvende naam voor de partnertenant
customerTenantId tekenreeks De tenant-id van de klant die is gekoppeld aan de waarschuwing
customerFriendlyName tekenreeks Een beschrijvende naam voor de tenant van de klant
subscriptionId tekenreeks De abonnements-id van de tenant van de klant
subscriptionType tekenreeks Het abonnementstype van de tenant van de klant
entityId tekenreeks De unieke id voor de waarschuwing
entityName tekenreeks De naam van de entiteit die is aangetast
entityUrl tekenreeks De entiteits-URL van de resource
hitCount tekenreeks Het aantal gedetecteerde verbindingen tussen firstObserved en lastObserved
catalogOfferId tekenreeks De id van de moderne aanbiedingscategorie van het abonnement
eventStatus tekenreeks De status van de waarschuwing: Actief, Onderzoeken of Opgelost
Servicenaam tekenreeks De naam van de Azure-service die is gekoppeld aan de waarschuwing
resourceName tekenreeks De naam van de Azure-resource die is gekoppeld aan de waarschuwing
resourceGroupName tekenreeks De naam van de Azure-resourcegroep die is gekoppeld aan de waarschuwing
firstOccurrence datum/tijd De begintijd van de impact van de waarschuwing (de tijd van de eerste gebeurtenis of activiteit die is opgenomen in de waarschuwing).
lastOccurrence datum/tijd De eindtijd van de waarschuwing (de tijd van de laatste gebeurtenis of activiteit die in de waarschuwing is opgenomen).
resolvedReason tekenreeks De reden die de partner heeft gegeven om de waarschuwingsstatus aan te pakken
resolvedOn datum/tijd Het tijdstip waarop de waarschuwing is opgelost
resolvedBy tekenreeks De gebruiker die de waarschuwing heeft opgelost
firstObserved datum/tijd De begintijd van de impact van de waarschuwing (de tijd van de eerste gebeurtenis of activiteit die is opgenomen in de waarschuwing).
lastObserved datum/tijd De eindtijd van de waarschuwing (de tijd van de laatste gebeurtenis of activiteit die in de waarschuwing is opgenomen).
eventType tekenreeks Het type waarschuwing: ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, Network Verbinding maken ionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly
ernst tekenreeks De ernst van de waarschuwing. Waarden: Laag, Gemiddeld, Hoog
confidenceLevel tekenreeks Het betrouwbaarheidsniveau van de waarschuwing, Waarden- Laag, Gemiddeld, Hoog
displayName tekenreeks Een gebruiksvriendelijke weergavenaam voor de waarschuwing, afhankelijk van het waarschuwingstype.
beschrijving tekenreeks Een beschrijving van de waarschuwing
land tekenreeks De landcode voor de partnertenant
valueAddedResellerTenantId tekenreeks De tenant-id van de toegevoegde waarde reseller die is gekoppeld aan de partnertenant en de tenant van de klant
valueAddedResellerFriendlyName tekenreeks Een beschrijvende naam voor de toegevoegde waarde reseller
subscriptionName tekenreeks De abonnementsnaam van de tenant van de klant
betrokkenresources json-matrix De lijst met betrokken resources. Betrokken resources zijn mogelijk leeg voor verschillende waarschuwingstypen. Zo ja, dan moet de partner het gebruik en verbruik op abonnementsniveau controleren.
additionalDetails Json-object Een woordenlijst met andere sleutel-waardenparen voor details die vereist zijn voor het identificeren en beheren van de beveiligingswaarschuwing.
isTest tekenreeks Als er een waarschuwing wordt gegenereerd voor de test, wordt deze ingesteld op waar of anders onwaar.
activityLogs tekenreeks Activiteitenlogboeken voor waarschuwingen.