Azure 詐騙通知 - 更新詐騙事件狀態
適用於:合作夥伴中心 API
在您調查每個回報 Azure 資源的詐騙活動,並判斷行為為詐騙或合法之後,您可以使用此 API,以適當的原因更新詐騙事件狀態。
注意
此 API 只會更新事件狀態,不會代表 CSP 合作夥伴解決詐騙活動。
自 2023 年 5 月起,試驗合作夥伴可以使用此 API 搭配 新事件模型。 使用新的模型時,您可以更新新類型的警示,例如異常計算使用量、加密採礦、Azure Machine Learning 使用量和服務健康情況諮詢通知。
先決條件
- 認證如 合作夥伴中心驗證所述。 此案例支援使用App+User認證進行驗證。
REST 要求
請求語法
| 方法 | 要求 URI |
|---|---|
| POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
要求標頭資訊
- 如需詳細資訊,請參閱 合作夥伴中心 REST 標頭。
請求主體
沒有。
要求範例
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI 參數
建立要求時,請使用下列選擇性查詢參數。
| 名字 | 類型 | 必填 | 描述 |
|---|---|---|---|
SubscriptionId |
字串 | 是的 | 具有 Crypro-mining 活動的 Azure 訂用帳戶標識碼 |
請求主體
| 財產 | 類型 | 必填 | 描述 |
|---|---|---|---|
eventIds |
string[] | 不 | 如果您想要更新指定訂用帳戶標識碼下所有詐騙事件的狀態,請將 eventId 保留為空白 |
eventStatus |
字串 | 不 | 詐騙警示狀態。 它可以是 進行中、已解決或 調查中。 |
resolvedReason |
字串 | 是的 | 解決詐騙案件時,請設定適當的原因碼,接受的原因碼有:詐騙 或 忽略 |
REST 回應
如果成功,這個方法會在回應的正文中傳回欺詐事件的集合。
回應成功和錯誤碼
每個回應都有一個 HTTP 狀態代碼,指出成功或失敗,以及更多偵錯資訊。 使用網路追蹤工具來讀取此程式代碼、錯誤類型等等參數。 如需完整清單,請參閱 錯誤碼。
回應範例
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com"
}
]
使用 X-NewEventsModel 標頭的 REST 要求
要求語法
| MethodRequest | URI |
|---|---|
| 發文 | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
要求標頭
- X-NewEventsModel: true
- 如需詳細資訊,請參閱 合作夥伴中心 REST 標頭。
請求主體
{
"EventIds": ["string"],
"EventStatus": "Resolved",
"ResolvedReason": "Fraud"
}
要求範例
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI 參數
建立要求時,請使用下列選擇性查詢參數。
| 名字 | 類型 | 必填 | 描述 |
|---|---|---|---|
SubscriptionId |
字串 | 是的 | 具有 Crypro-mining 活動的 Azure 訂用帳戶標識碼 |
請求主體
| 財產 | 類型 | 必填 | 描述 |
|---|---|---|---|
eventIds |
string[] | 不 | 如果您想要更新指定訂用帳戶標識碼下所有詐騙事件的狀態,請保留 eventIds 為空白 |
eventStatus |
字串 | 是的 | 將它設定為 解決 以解決詐騙事件,或將它設定為 調查 以調查詐騙事件。 |
resolvedReason |
字串 | 是的 | 解決詐騙事件時,請設定適當的代碼,其中接受的原因代碼為 詐騙 或 忽略 |
REST 回應
如果成功,此方法會傳回回應內容中具有擴充屬性的詐欺事件集合。
回應成功和錯誤碼
每個回應都有一個 HTTP 狀態代碼,指出成功或失敗,以及更多偵錯資訊。 使用網路追蹤工具來讀取此程式代碼、錯誤類型等等參數。 如需完整清單,請參閱錯誤碼。
回應範例
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": {
"resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]"
}
}
]
| 財產 | 類型 | 描述 |
|---|---|---|
eventTime |
日期時間 | 偵測到警示的時間 |
eventId |
字串 | 警示的唯一標識碼 |
partnerTenantId |
字串 | 與警示相關聯的合作夥伴租戶ID |
partnerFriendlyName |
字串 | 作為合作租戶的友好名稱 |
customerTenantId |
字串 | 與警示相關的客戶租戶 ID |
customerFriendlyName |
字串 | 客戶租戶的易記名稱 |
subscriptionId |
字串 | 客戶租戶的訂閱ID |
subscriptionType |
字串 | 客戶租戶的訂閱類型 |
entityId |
字串 | 警示的唯一標識碼 |
entityName |
字串 | 遭侵入實體的名稱 |
entityUrl |
字串 | 資源的實體URL |
hitCount |
字串 | 偵測到的從第一次觀察到最後一次觀察之間的連線數目 |
catalogOfferId |
字串 | 訂閱的現代化優惠類別 ID |
eventStatus |
字串 | 警示的狀態:作用中、調查或已解決 |
serviceName |
字串 | 與警示相關聯的 Azure 服務名稱 |
resourceName |
字串 | 與警示相關聯的 Azure 資源名稱 |
resourceGroupName |
字串 | 與警示相關聯的 Azure 資源群組名稱 |
firstOccurrence |
日期時間 | 警示的影響開始時間(警示中包含的第一個事件或活動的時間) |
lastOccurrence |
日期時間 | 警示的影響結束時間(警示中包含的最後一個事件或活動的時間) |
resolvedReason |
字串 | 合作夥伴提供解決警示狀態的原因 |
resolvedOn |
日期時間 | 解決警示的時間 |
resolvedBy |
字串 | 已解決警示的使用者 |
firstObserved |
日期時間 | 警示的影響開始時間(警示中包含的第一個事件或活動的時間) |
lastObserved |
日期時間 | 警示的影響結束時間(警示中包含的最後一個事件或活動的時間) |
eventType |
字串 | 警示的類型:ServiceHealthSecurityAdvisory、UsageAnomalyDetection、MultiRegionVirtualMachineScaleSetDeploymentAnomaly、NetworkConnectionsToCryptoMiningPools、VirtualMachineDeploymentAnomaly、MultiRegionMachineLearningUsageAnomaly |
severity |
字串 | 警示的嚴重性(值:低、中、高) |
confidenceLevel |
字串 | 警示的信賴等級(值:低、中、高) |
displayName |
字串 | 警示類型不同,會顯示出易於使用者的顯示名稱。 |
description |
字串 | 警示的描述 |
country |
字串 | 合作夥伴租戶的國家/地區代碼 |
valueAddedResellerTenantId |
字串 | 與合作夥伴租用戶及客戶租用戶相關聯的增值經銷商的租用戶標識碼 |
valueAddedResellerFriendlyName |
字串 | 增值轉銷商的親切名稱 |
subscriptionName |
字串 | 客戶租戶的訂閱名稱 |
affectedResources |
JSON 陣列 | 受影響的資源列表;根據不同的警示類型,受影響的資源可能為空。在這種情況下,合作夥伴需要檢查訂用帳戶層級的使用與消耗狀況。 |
additionalDetails |
Json 物件 | 識別和管理安全警示所需的其他詳細訊息的鍵值對字典 |
isTest |
字串 | 如果產生測試警示,則會將其設定為 true,否則為 false。 |
activityLogs |
字串 | 警示活動記錄 |