Azure 防欺诈通知 - 更新防欺诈事件状态
适用于:合作伙伴中心 API
调查每个报告的 Azure 资源的欺诈活动并确定行为为欺诈或合法行为后,可以使用此 API 更新欺诈事件状态,原因适当。
注意
此 API 将仅更新事件状态,它不会代表 CSP 合作伙伴解决欺诈活动。
自 2023 年 5 月起,试点合作伙伴可以将此 API 与 新事件模型配合使用。 使用新模型,可以更新新类型的警报,例如,异常计算使用情况、加密挖掘、Azure 机器学习使用情况和服务运行状况公告通知。
先决条件
- 合作伙伴中心身份验证中所述的凭据。 此方案支持使用应用凭据和用户凭据进行身份验证。
REST 请求
请求语法
方法 | 请求 URI |
---|---|
POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
请求标头
- 有关详细信息,请参阅合作伙伴中心 REST 标头。
请求正文
无。
请求示例
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI 参数
创建请求时,请使用以下可选查询参数。
名称 | 类型 | 必填 | 说明 |
---|---|---|---|
SubscriptionId | string | 是 | 具有 Crypro 挖掘活动的 Azure 订阅 ID |
请求正文
属性 | 类型 | 必填 | 说明 |
---|---|---|---|
eventIds | string[] | 否 | 如果要更新给定订阅 ID 下所有欺诈事件的状态,请将 eventId 保留为空 |
eventStatus | string | 否 | 欺诈警报状态。 它可以是“活动”、“已解决”或“正在调查”。 |
resolvedReason | string | 是 | 解决欺诈事件时,请设置适当的原因代码,接受的原因代码为 欺诈 或 忽略 |
REST 响应
如果成功,此方法在响应正文中返回欺诈事件的集合。
响应的成功和错误代码
每个响应都有一个 HTTP 状态代码,指示成功或失败以及更多的调试信息。 使用网络跟踪工具读取此代码、错误类型和其他参数。 有关完整列表,请参阅错误代码。
响应示例
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "348e932d-ef58-4347-8351-be51e4ec148c",
"partnerFriendlyName": "test partner",
"customerTenantId": "a248da34-6840-4c67-82d7-7f55ccd50d03",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com"
}
]
具有 X-NewEventsModel 标头的 REST 请求
请求语法
MethodRequest | URI |
---|---|
POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
请求标头
- X-NewEventsModel: true
- 有关详细信息,请参阅合作伙伴中心 REST 标头。
请求正文
{
"EventIds": ["string"],
"EventStatus": "Resolved",
"ResolvedReason": "Fraud"
}
请求示例
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI 参数
创建请求时,请使用以下可选查询参数。
名称 | 类型 | 必填 | 说明 |
---|---|---|---|
SubscriptionId | string | 是 | 具有 Crypro 挖掘活动的 Azure 订阅 ID |
请求正文
属性 | 类型 | 必填 | 说明 |
---|---|---|---|
eventIds | string[] | 否 | 如果要更新给定订阅 ID 下所有欺诈事件的状态,请将 eventId 保留为空 |
eventStatus | string | 是 | 将其设置为“解决”以解决欺诈事件,或将其设置为“调查”以调查欺诈事件。 |
resolvedReason | string | 是 | 解决欺诈事件时,请设置适当的原因代码,接受的原因代码为 欺诈 或 忽略 |
REST 响应
如果成功,此方法在响应正文中返回具有扩展属性的欺诈事件集合。
响应的成功和错误代码
每个响应都有一个 HTTP 状态代码,指示成功或失败以及更多的调试信息。 使用网络跟踪工具读取此代码、错误类型和其他参数。 有关完整列表,请参阅错误代码。
响应示例
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "348e932d-ef58-4347-8351-be51e4ec148c",
"partnerFriendlyName": "test partner",
"customerTenantId": "a248da34-6840-4c67-82d7-7f55ccd50d03",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "897e68c5-fdf8-430e-bb54-3b386e0906b0",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": {
"resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]"
}
}
]
properties | 类型 | 描述 |
---|---|---|
eventTime | datetime | 检测到警报的时间 |
eventId | string | 警报的唯一标识符 |
partnerTenantId | string | 与警报关联的合作伙伴的租户 ID |
partnerFriendlyName | string | 合作伙伴租户的友好名称 |
customerTenantId | string | 与警报关联的客户的租户 ID |
customerFriendlyName | string | 客户租户的友好名称 |
subscriptionId | string | 客户租户的订阅 ID |
subscriptionType | string | 客户租户的订阅类型 |
entityId | string | 警报的唯一标识符 |
entityName | string | 遭到入侵的实体的名称 |
entityUrl | string | 资源的实体 URL |
hitCount | string | 在 firstObserved 和 lastObserved 之间检测到的连接数 |
catalogOfferId | string | 订阅的新式产品/服务类别 ID |
eventStatus | string | 警报的状态: 活动、 调查 或 已解决 |
serviceName | string | 与警报关联的 Azure 服务的名称 |
resourceName | string | 与警报关联的 Azure 资源的名称 |
resourceGroupName | string | 与警报关联的 Azure 资源组的名称 |
firstOccurrence | datetime | 警报的影响开始时间(警报中包含的第一个事件或活动的时间)。 |
lastOccurrence | datetime | 警报的影响结束时间(警报中包含的最后一个事件或活动的时间)。 |
resolvedReason | string | 合作伙伴提供解决警报状态的原因 |
resolvedOn | datetime | 警报解决的时间 |
resolvedBy | string | 解决警报的用户 |
firstObserved | datetime | 警报的影响开始时间(警报中包含的第一个事件或活动的时间)。 |
lastObserved | datetime | 警报的影响结束时间(警报中包含的最后一个事件或活动的时间)。 |
eventType | string | 警报的类型:ServiceHealthSecurityAdvisory、UsageAnomalyDetection、MultiRegionVirtualMachineScaleSetDeploymentAnomaly、Network连接ionsToCryptoMiningPools、VirtualMachineDeploymentAnomaly、MultiRegionMachineLearningUsageAnomaly |
severity | string | 警报严重性。 值:低、中、高 |
confidenceLevel | string | 警报的置信度、值- 低、中、高 |
displayName | string | 警报的用户友好显示名称,具体取决于警报类型。 |
description | string | 警报的说明 |
country | string | 合作伙伴租户的国家/地区代码 |
valueAddedResellerTenantId | string | 与合作伙伴租户和客户租户关联的增值经销商的租户 ID |
valueAddedResellerFriendlyName | string | 增值经销商的友好名称 |
subscriptionName | string | 客户租户的订阅名称 |
affectedResources | json 数组 | 受影响的资源列表。 对于不同的警报类型,受影响的资源可能为空。 如果是这样,合作伙伴需要在订阅级别检查使用情况和消耗。 |
additionalDetails | Json 对象 | 标识和管理安全警报所需的其他详细信息键值对的字典。 |
isTest | string | 如果为测试生成警报,则会将其设置为 true,否则为 false。 |
activityLogs | string | 警报的活动日志。 |