Melding over Azure-fraude - Status van fraudegebeurtenis bijwerken
van toepassing op: Partnercentrum-API
Nadat u de fraudeactiviteiten voor elke gerapporteerde Azure-resource hebt onderzocht en het gedrag hebt vastgesteld als frauduleus of legitiem, kunt u deze API gebruiken om de status van de fraudegebeurtenis met de juiste reden bij te werken.
Notitie
Met deze API wordt alleen de gebeurtenisstatus bijgewerkt. De fraudeactiviteit wordt niet opgelost namens CSP-partners.
Vanaf mei 2023 kunnen testpartners deze API gebruiken met het New Events Model. Met het nieuwe model kunt u nieuwe typen waarschuwingen bijwerken wanneer deze worden toegevoegd aan het systeem, bijvoorbeeld afwijkend rekengebruik, cryptoanalyse, Azure Machine Learning-gebruik en servicestatusadviesmeldingen.
Voorwaarden
- Referenties zoals beschreven in Partner Center-authenticatie. Dit scenario ondersteunt verificatie met app+gebruikersreferenties.
REST-aanvraag
Aanvraagsyntaxis
| Methode | URI aanvragen |
|---|---|
| POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
Aanvraag-headers
- Zie Partnercentrum REST-headersvoor meer informatie.
Aanvraaginhoud
Geen.
Aanvraagvoorbeeld
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI-parameter
Gebruik de volgende optionele queryparameters bij het maken van de aanvraag.
| Naam | Type | Vereist | Beschrijving |
|---|---|---|---|
SubscriptionId |
koord | Ja | De Azure-abonnements-id, die de Crypto-mining-activiteiten heeft |
Aanvraaginhoud
| Eigendom | Type | Vereist | Beschrijving |
|---|---|---|---|
eventIds |
string[] | Nee | Houd eventIds leeg als u de status wilt bijwerken voor alle fraude-gebeurtenissen onder de opgegeven abonnements-id |
eventStatus |
tekenreeks | Nee | De status van de fraudewaarschuwing. Het kan Actief, Opgelostof Onderzoekendezijn. |
resolvedReason |
No improvements needed unless additional context necessitates a different Dutch word for "string." | Ja | Wanneer het fraudefenomeen is opgelost, kies een passende redencode, zijn de geaccepteerde redencodes Fraude of Negeer. |
REST-antwoord
Indien succesvol, retourneert deze methode een verzameling fraudegebeurtenissen in het antwoordlichaam.
Geslaagde antwoorden en foutcodes
Elk antwoord wordt geleverd met een HTTP-statuscode die aangeeft of het succesvol is of niet, en aanvullende foutopsporingsinformatie. Gebruik een hulpprogramma voor netwerktracering om deze code, het fouttype en meer parameters te lezen. Zie Foutcodesvoor de volledige lijst.
Voorbeeld van antwoord
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com"
}
]
REST-aanvraag met de header X-NewEventsModel
Aanvraagsyntaxis
| MethodeVerzoek | URI |
|---|---|
| POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
Aanvraag-headers
- X-NewEventsModel: true
- Zie Partnercentrum REST-headersvoor meer informatie.
Aanvraaginhoud
{
"EventIds": ["string"],
"EventStatus": "Resolved",
"ResolvedReason": "Fraud"
}
Aanvraagvoorbeeld
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI-parameter
Gebruik de volgende optionele queryparameters bij het maken van de aanvraag.
| Naam | Type | Vereist | Beschrijving |
|---|---|---|---|
SubscriptionId |
tekenreeks | Ja | De Azure-abonnements-ID, waarop de Crypto-mining-activiteiten plaatsvinden |
Aanvraaginhoud
| Eigendom | Type | Vereist | Beschrijving |
|---|---|---|---|
eventIds |
string[] | Nee | Houd eventIds leeg als u de status wilt bijwerken voor alle fraude-gebeurtenissen onder de opgegeven abonnements-id |
eventStatus |
snaar | Ja | Stel het in op Oplossen om de fraude-gebeurtenis op te lossen, of op Onderzoeken om een fraude-gebeurtenis te onderzoeken. |
resolvedReason |
string | Ja | Wanneer het fraudegeval is opgelost, stelt u een geschikte redencode in. De geaccepteerde redencodes zijn Fraude of Negeren. |
REST-antwoord
Als dit lukt, retourneert deze methode een verzameling fraude-gebeurtenissen met uitgebreide kenmerken in de hoofdtekst van het antwoord.
Geslaagde antwoorden en foutcodes
Elk antwoord wordt geleverd met een HTTP-statuscode die aangeeft of het succesvol is of een fout heeft opgetreden en biedt meer foutopsporingsinformatie. Gebruik een hulpprogramma voor netwerktracering om deze code, het fouttype en meer parameters te lezen. Zie Foutcodes voor de volledige lijst.
Voorbeeld van antwoord
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": {
"resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]"
}
}
]
| Eigendom | Type | Beschrijving |
|---|---|---|
eventTime |
datum/tijd | Het tijdstip waarop de waarschuwing is gedetecteerd |
eventId |
koord | De unieke identificatie voor de waarschuwing |
partnerTenantId |
tekenreeks | De Tenant-ID van de partner die is gekoppeld aan de waarschuwing |
partnerFriendlyName |
string | Een vriendelijke naam voor de partnertenant |
customerTenantId |
snaar, koord, tekenreeks | De tenant-id van de klant die is gekoppeld aan de waarschuwing |
customerFriendlyName |
snaar | Een vriendelijke naam voor de klanttenant |
subscriptionId |
string | De abonnements-id van de tenant van de klant |
subscriptionType |
Tekenreeks | Het abonnementstype van de tenant van de klant |
entityId |
touw | De unieke identificatie voor de waarschuwing |
entityName |
snaar | De naam van de entiteit die is aangetast |
entityUrl |
snaar | De entiteits-URL van de resource |
hitCount |
draad | Het aantal gedetecteerde verbindingen tussen firstObserved en lastObserved |
catalogOfferId |
snaar | De ID van de moderne aanbiedingscategorie van het abonnement |
eventStatus |
snaar | De status van de waarschuwing: Actief, Onderzoeken of Opgelost |
serviceName |
snaar | De naam van de Azure-service die is gekoppeld aan de waarschuwing |
resourceName |
snaar | De naam van de Azure-resource die is gekoppeld aan de waarschuwing |
resourceGroupName |
snaar | De naam van de Azure-resourcegroep die is gekoppeld aan de waarschuwing |
firstOccurrence |
datum/tijd | De begintijd van de impact van de waarschuwing (de tijd van de eerste gebeurtenis of activiteit die is opgenomen in de waarschuwing) |
lastOccurrence |
datum/tijd | De eindtijd van de impact van de waarschuwing (de tijd van de laatste gebeurtenis of activiteit die is opgenomen in de waarschuwing) |
resolvedReason |
snaar | De reden die de partner heeft gegeven om de waarschuwingsstatus aan te pakken |
resolvedOn |
datum/tijd | Het tijdstip waarop de waarschuwing is opgelost |
resolvedBy |
tekenreeks | De gebruiker die de waarschuwing heeft opgelost |
firstObserved |
datum/tijd | De begintijd van de impact van de waarschuwing (de tijd van de eerste gebeurtenis of activiteit die is opgenomen in de waarschuwing) |
lastObserved |
datum/tijd | De eindtijd van de impact van de waarschuwing (de tijd van de laatste gebeurtenis of activiteit die is opgenomen in de waarschuwing) |
eventType |
koord/tekenreeks/snaar | Het type waarschuwing: ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
severity |
touwtje | De ernst van de waarschuwing (waarden: Laag, Gemiddeld, Hoog) |
confidenceLevel |
snaar | Het betrouwbaarheidsniveau van de waarschuwing (waarden: Laag, Gemiddeld, Hoog) |
displayName |
snaar | Een gebruiksvriendelijke weergavenaam voor de waarschuwing, afhankelijk van het waarschuwingstype |
description |
snaar | Een beschrijving van de waarschuwing |
country |
snaar | De landcode voor de partnertenant |
valueAddedResellerTenantId |
snaar | De tenant-id van de value-added reseller (VAR) die is gekoppeld aan de partnertenant en de klanttenant |
valueAddedResellerFriendlyName |
snaar | Een vriendelijke naam voor de waarde toevoegende reseller |
subscriptionName |
snaar | De abonnementsnaam van de tenant van de klant |
affectedResources |
json-array | De lijst met betrokken resources; betrokken resources zijn mogelijk leeg voor verschillende waarschuwingstypen. In dat geval moet de partner het gebruik en verbruik op abonnementsniveau controleren |
additionalDetails |
JSON-object | Een overzicht van sleutel-waardeparen van andere details die vereist zijn voor het identificeren en beheren van de beveiligingswaarschuwing. |
isTest |
tekenreeks | Als er een waarschuwing wordt gegenereerd voor test, wordt deze ingesteld op waar of anders onwaar |
activityLogs |
snaar | Activiteitenlogboeken voor waarschuwingen |