Compartilhar via


Notificação de fraude do Azure – Obter eventos de fraude

Aplica-se a: API do Partner Center

Este artigo explica como obter programaticamente a lista de recursos do Azure afetados por atividades fraudulentas. Para saber mais sobre a detecção de fraudes do Azure para parceiros, consulte Detecção e notificação de fraudes do Azure.

A partir de maio de 2023, os parceiros piloto podem usar essa API com o Novo Modelo de Eventos. Com o novo modelo, você pode obter novos tipos de alertas à medida que eles são adicionados ao sistema (por exemplo, uso anômalo de computação, mineração de criptografia, uso do Azure Machine Learning e notificações de consultoria de integridade do serviço).

Pré-requisitos

Solicitação REST

Sintaxe da solicitação

Método URI da solicitação
GET {baseURL}/v1/fraudEvents>

Cabeçalhos da solicitação

Corpo da solicitação

Nenhum

Exemplo de solicitação

GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json

Parâmetro do URI

Você pode usar os seguintes parâmetros de consulta opcionais ao criar a solicitação.

Nome Digitar Obrigatória Descrição
EventStatus string Não O status do alerta de fraude é Ativo, Resolvido ou Investigando.
SubscriptionId string Não A ID da assinatura do Azure, que tem as atividades de mineração do Crypro

Resposta REST

Se for bem-sucedido, o método retornará uma coleção de eventos de fraude no corpo da resposta.

Códigos de êxito e de erro de resposta

Cada resposta vem com um código de status HTTP que indica êxito ou falha e outras informações de depuração. Use uma ferramenta de rastreamento de rede para ler esse código, tipo de erro e mais parâmetros. Para obter a lista completa, confira Códigos de Erro.

Exemplo de resposta

HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
    {
        "eventTime": "2021-12-08T00:25:45.69",
        "eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
        "partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "partnerFriendlyName": "test partner",
        "customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "customerFriendlyName": "test customer",
        "subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "subscriptionType": "modern",
        "entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
        "entityName": "sampleentity",
        "entityUrl": "\\sample\\entity\\url",
        "hitCount": "10",
        "catalogOfferId": "ms-azr-17g",
        "eventStatus": "Active",
        "serviceName": "sampleservice",
        "resourceName": "sampleresource",
        "resourceGroupName": "sampleresourcegroup",
        "firstOccurrence": "2021-12-08T00:25:45.69",
        "lastOccurrence": "2021-12-08T00:25:45.69",
        "resolvedReason": "None",
        "resolvedOn": "9999-12-31T23:59:59.9970000",
        "resolvedBy": ""
        "firstObserved" : "9999-12-31T23:59:59.9970000",
        "lastObserved" : "9999-12-31T23:59:59.9970000"
    }
]

Solicitação REST com o cabeçalho X-NewEventsModel

Sintaxe da solicitação

Método URI da solicitação
GET [{baseURL}]/v1/fraudEvents>

Cabeçalhos da solicitação

Corpo da solicitação

Nenhum

Exemplo de solicitação

GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId}&EventType={EventType}&PageSize={PageSize}&PageNumber={PageNumber} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true

Parâmetro do URI

Você pode usar os seguintes parâmetros de consulta opcionais ao criar a solicitação.

Nome Digitar Obrigatória Descrição
EventStatus string Não O status do alerta de fraude. Está ativo, resolvido ou investigando.
SubscriptionId string Não A ID da assinatura do Azure, na qual as atividades fraudulentas são consultadas.
EventType string Não O tipo de alerta de fraude está associado a eventos de fraude. Disponível com o cabeçalho X-NewEventsModel. Os valores são ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly
PageSize int Não O atributo de tamanho de página para paginação é o número de registros por página. Ele está disponível com o cabeçalho X-NewEventsModel e PageNumber positivo diferente de zero.
PageNumber int Não O atributo de número de página para paginação. Disponível com o cabeçalho X-NewEventsModel e PageSize positivo diferente de zero.

Resposta REST com o cabeçalho X-NewEventsModel

Se for bem-sucedido, o método retornará uma coleção de eventos de fraude no corpo da resposta.

Códigos de êxito e de erro de resposta

Cada resposta vem com um código de status HTTP que indica êxito ou falha e outras informações de depuração. Use uma ferramenta de rastreamento de rede para ler esse código, tipo de erro e mais parâmetros. Para obter a lista completa, confira Códigos de Erro.

Exemplo de resposta

HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
    {
        "eventTime": "2021-12-08T00:25:45.69",
        "eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
        "partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "partnerFriendlyName": "test partner",
        "customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "customerFriendlyName": "test customer",
        "subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "subscriptionType": "modern",
        "entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
        "entityName": "sampleentity",
        "entityUrl": "\\sample\\entity\\url",
        "hitCount": "10",
        "catalogOfferId": "ms-azr-17g",
        "eventStatus": "Active",
        "serviceName": "sampleservice",
        "resourceName": "sampleresource",
        "resourceGroupName": "sampleresourcegroup",
        "firstOccurrence": "2021-12-08T00:25:45.69",
        "lastOccurrence": "2021-12-08T00:25:45.69",
        "resolvedReason": "None",
        "resolvedOn": "9999-12-31T23:59:59.9970000",
        "resolvedBy": ""
        "firstObserved": "9999-12-31T23:59:59.9970000",
        "lastObserved": "9999-12-31T23:59:59.9970000",
        "eventType": "NetworkConnectionsToCryptoMiningPools",
        "severity": "Medium",
        "confidenceLevel": "high",
        "displayName": "sample display name",
        "description": "sample description.",
        "country": "US",
        "valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "valueAddedResellerFriendlyName": "Sample Reseller Name",
        "subscriptionName": "sample Subscription Name",
        "affectedResources": [
            {
                "azureResourceId": "\\sample\\resource\\url ",
                "type": "sample resource type"
            }
        ],
        "additionalDetails": { "resourceid": "\\sample\\resource\\id ",
            "resourcetype": "sample resource type",
            "vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
            "miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
            "connectionCount": "31",
            "cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
            },
        "IsTest": "false",
        "activityLogs": "[
        {
                "statusFrom": "Active",
                "statusTo": "Investigating",
                "updatedBy": "admin@testtestcsp022.onmicrosoft.com",
                "dateTime": "2023-07-10T12:34:27.8016635+05:30"
        },
        {
                "statusFrom": "Investigating",
                "statusTo": "Resolved",
                "updatedBy": "admin@testtestcsp022.onmicrosoft.com",
                "dateTime": "2023-07-10T12:38:26.693182+05:30"
        }
]",

    }
]
Propriedade Type Descrição
eventTime datetime A hora em que o alerta foi detectado
eventId string O identificador exclusivo do alerta
partnerTenantId string A ID do locatário do parceiro associado ao alerta
nome_do_parceiroAmigável string Um nome amigável para o locatário parceiro. Para saber mais, consulte Obter um perfil da organização.
customerTenantId string A ID do locatário do cliente associado ao alerta
nome_amigável_do_cliente string Um nome amigável para o locatário do cliente
subscriptionId string A ID da assinatura do locatário do cliente
tipo de assinatura string O tipo de assinatura do locatário do cliente
entityId string O identificador exclusivo do alerta
entityName string O nome da entidade comprometida
entityUrl string A URL da entidade do recurso
hitCount string O número de conexões detectadas entre firstObserved e lastObserved
catalogOfferId string A ID da categoria de oferta moderna da assinatura
status do evento string O status do alerta. Está ativo, investigando ou resolvido
serviceName string O nome do serviço do Azure associado ao alerta
resourceName string O nome do recurso do Azure associado ao alerta
resourceGroupName string O nome do grupo de recursos do Azure associado ao alerta
primeira ocorrência datetime A hora de início do impacto do alerta (a hora do primeiro evento ou atividade incluída no alerta).
última ocorrência datetime A hora de término do impacto do alerta (a hora do último evento ou atividade incluída no alerta).
resolvido string O motivo fornecido pelo parceiro para abordar o status do alerta
resolvido datetime A hora em que o alerta foi resolvido
resolvido por string O usuário que resolveu o alerta
firstObserved datetime A hora de início do impacto do alerta (a hora do primeiro evento ou atividade incluída no alerta).
último observado datetime A hora de término do impacto do alerta (a hora do último evento ou atividade incluída no alerta).
eventType string O tipo de alerta. É ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly
severidade string A severidade do alerta. Valores: Baixo, Médio, Alto
nível de confiança string O nível de confiança do alerta, Valores - Baixo, Médio, Alto
displayName string Um nome de exibição amigável para o alerta, dependendo do tipo de alerta.
descrição string Uma descrição do alerta
country string O código do país para o locatário parceiro
valueAddedResellerTenantId string A ID do locatário do revendedor de valor agregado associado ao locatário do parceiro e ao locatário do cliente
valueAddedResellerFriendlyName string Um nome amigável para o revendedor de valor agregado
subscriptionName string O nome da assinatura do locatário do cliente
affectedResources Matriz json A lista de recursos afetados. Os recursos afetados podem estar vazios para diferentes tipos de alerta. Nesse caso, o parceiro precisa verificar o uso e o consumo no nível da assinatura.
Detalhes adicionais Objeto Json Um dicionário de outros pares de valores-chave de detalhes necessários para identificar e gerenciar o alerta de segurança.
é Teste string Um alerta é um alerta de teste. É verdadeiro ou falso.
activityLogs string Logs de atividades para alerta.