Azure-bedrägerimeddelande – Uppdatera status för bedrägerihändelser
gäller för: Partner Center API
När du har undersökt bedrägeriaktiviteterna för varje rapporterad Azure-resurs och fastställt beteendet som bedrägligt eller legitimt kan du använda det här API:et för att uppdatera bedrägerihändelsestatusen med lämplig anledning.
Anteckning
Det här API:et uppdaterar endast händelsestatusen, det löser inte bedrägeriaktiviteten för CSP-partners räkning.
Från och med maj 2023 kan pilotpartner använda det här API:et med New Events Model. Med den nya modellen kan du uppdatera nya typer av aviseringar när de läggs till i systemet, till exempel avvikande beräkningsanvändning, kryptoutvinning, Azure Machine Learning-användning och rådgivning om tjänstens hälsotillstånd.
Förutsättningar
- Autentiseringsuppgifter enligt beskrivningen i PartnerCenter-autentisering. Det här scenariot stöder autentisering med app+användarautentiseringsuppgifter.
REST-begäran
Syntax för begäran
| Metod | Förfrågan URI |
|---|---|
| POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
Begäranhuvuden
- För mer information, se Partner Center REST-huvuden.
Begärandetext
Ingen.
Exempel på begäran
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI-parameter
Använd följande valfria frågeparametrar när du skapar begäran.
| Namn | Typ | Krävs | Beskrivning |
|---|---|---|---|
SubscriptionId |
sträng | Ja | Azure-prenumerations-ID:t, som har Crypro-gruvaktiviteter |
Begärandetext
| Egenskap | Typ | Krävs | Beskrivning |
|---|---|---|---|
eventIds |
string[] | Nej | Behåll eventIds som tomma om du vill uppdatera statusen för alla bedrägerihändelser under det angivna prenumerations-ID:t |
eventStatus |
sträng | Nej | Status för bedrägeriavisering. Det kan vara antingen Aktiv, Lösteller Undersöks. |
resolvedReason |
sträng | Ja | När bedrägerihändelsen har lösts anger du en lämplig orsakskod, de godkända orsakskoderna Bedrägeri eller Ignorera |
REST-svar
Om det lyckas returnerar den här metoden en samling bedrägerihändelser i svarstexten.
Svarsframgång och felkoder
Varje svar levereras med en HTTP-statuskod som anger lyckad eller misslyckad och mer felsökningsinformation. Använd ett verktyg för nätverksspårning för att läsa den här koden, feltypen och fler parametrar. Den fullständiga listan finns i Felkoder.
Svarsexempel
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com"
}
]
REST-begäran med X-NewEventsModel-huvudet
Syntax för begäran
| MetodFörfrågan | URI |
|---|---|
| POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
Begärandehuvuden
- X-NewEventsModel: true
- Mer information finns i REST-huvuden för Partnercenter.
Begärandetext
{
"EventIds": ["string"],
"EventStatus": "Resolved",
"ResolvedReason": "Fraud"
}
Exempel på begäran
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI-parametrar
Använd följande valfria frågeparametrar när du skapar begäran.
| Namn | Typ | Krävs | Beskrivning |
|---|---|---|---|
SubscriptionId |
sträng | Ja | Azure-prenumerations-ID:t, som har Crypro-gruvaktiviteter |
Begärans innehåll
| Egenskap | Typ | Krävs | Beskrivning |
|---|---|---|---|
eventIds |
string[] | Nej | Behåll eventIds som tomma om du vill uppdatera statusen för alla bedrägerihändelser under det angivna prenumerations-ID:t |
eventStatus |
sträng | Ja | Ställ in den på Lös för att lösa bedrägerihändelsen eller ställ in den på Undersöka för att undersöka en bedrägerihändelse. |
resolvedReason |
sträng | Ja | När bedrägerihändelsen har lösts anger du en lämplig orsakskod, de godkända orsakskoderna Bedrägeri eller Ignorera |
REST-svar
Om det lyckas returnerar den här metoden en samling bedrägerihändelser med utökade attribut i svarstexten.
Svarsframgång och felkoder
Varje svar levereras med en HTTP-statuskod som anger lyckad eller misslyckad och mer felsökningsinformation. Använd ett verktyg för nätverksspårning för att läsa den här koden, feltypen och fler parametrar. Den fullständiga listan finns i Felkoder.
Svarsexempel
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": {
"resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]"
}
}
]
| Egenskap | Typ | Beskrivning |
|---|---|---|
eventTime |
datumtid | Den tid då aviseringen identifierades |
eventId |
sträng | Den unika identifieraren för aviseringen |
partnerTenantId |
sträng | Hyrgästs-ID för den partner som är associerad med varningen |
partnerFriendlyName |
sträng | Ett vänligt namn för partnerklienten |
customerTenantId |
sträng | Hyresgäst-ID för kunden som är associerad med varningen |
customerFriendlyName |
sträng | Ett vänligt namn för kundhyresgästen |
subscriptionId |
sträng | Prenumerations-ID för kundens klient |
subscriptionType |
sträng | Prenumerationstypen för kundklientorganisationen |
entityId |
sträng | Den unika identifieraren för aviseringen |
entityName |
sträng | Namnet på den komprometterade entiteten |
entityUrl |
sträng | Resursens entitets-URL |
hitCount |
sträng | Antalet anslutningar som identifierats mellan firstObserved och lastObserved |
catalogOfferId |
sträng | Prenumerationens moderna erbjudandekategori-ID |
eventStatus |
sträng | Status för aviseringen: Aktiv, Undersökande eller Löst |
serviceName |
sträng | Namnet på den Azure-tjänst som är associerad med aviseringen |
resourceName |
sträng | Namnet på den Azure-resurs som är associerad med aviseringen |
resourceGroupName |
sträng | Namnet på den Azure-resursgrupp som är associerad med aviseringen |
firstOccurrence |
datum och tid | Starttiden för aviseringen (tidpunkten för den första händelsen eller aktiviteten som ingår i aviseringen) |
lastOccurrence |
datum och tid | Sluttiden för aviseringen (tidpunkten för den senaste händelsen eller aktiviteten som ingår i aviseringen) |
resolvedReason |
sträng | Orsaken som partnern anger för att hantera larmstatusen |
resolvedOn |
datumtid | Tiden då aviseringen löstes |
resolvedBy |
sträng | Användaren som löste aviseringen |
firstObserved |
datum och tid | Starttiden för aviseringen (tidpunkten för den första händelsen eller aktiviteten som ingår i aviseringen) |
lastObserved |
datumtid | Sluttiden för aviseringen (tidpunkten för den senaste händelsen eller aktiviteten som ingår i aviseringen) |
eventType |
sträng | Typ av avisering: ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
severity |
sträng | Allvarlighetsgraden för aviseringen (Värden: Låg, Medel, Hög) |
confidenceLevel |
sträng | Konfidensnivån för aviseringen (Värden: Låg, Medel, Hög) |
displayName |
sträng | Ett användarvänligt visningsnamn för aviseringen beroende på aviseringstyp |
description |
sträng | En beskrivning av aviseringen |
country |
sträng | Landskoden för partnerklientorganisationen |
valueAddedResellerTenantId |
sträng | Tenant-ID för den mervärdesåterförsäljare som är associerad med partner-tenanten och kund-tenanten |
valueAddedResellerFriendlyName |
sträng | Ett användarvänligt namn för återförsäljare med mervärde |
subscriptionName |
sträng | Prenumerationsnamnet på kundhyresgästen |
affectedResources |
json-matris | Listan över resurser som påverkas. berörda resurser kan vara tomma för olika aviseringstyper, i vilket fall partnern måste kontrollera användningen och förbrukningen på prenumerationsnivå |
additionalDetails |
Json-objekt | En ordlista med andra nyckel/värden-par som krävs för att identifiera och hantera säkerhetsaviseringen |
isTest |
sträng | Om en avisering genereras för test ställs den in på sant eller annars falskt |
activityLogs |
sträng | Aktivitetsloggar för avisering |