Azure-bedrägerimeddelande – Hämta bedrägerihändelser
Gäller för: Partnercenter-API
Den här artikeln beskriver hur du programmatiskt hämtar listan över Azure-resurser som påverkas av bedrägeriaktiviteter. Mer information om identifiering av Azure-bedrägerier för partner finns i Identifiering och meddelande om Azure-bedrägeri.
Från och med maj 2023 kan pilotpartner använda det här API:et med den nya händelsemodellen. Med den nya modellen kan du få nya typer av aviseringar när de läggs till i systemet (till exempel avvikande beräkningsanvändning, kryptoutvinning, Azure Mašinsko učenje aviseringar om användning och hälsorådgivning för tjänster).
Förutsättningar
- Autentiseringsuppgifter enligt beskrivningen i Partnercenter-autentisering. Det här scenariot stöder autentisering med app+användarautentiseringsuppgifter.
REST-begäran
Syntax för begäran
| Metod | URI för förfrågan |
|---|---|
| GET | {baseURL}/v1/fraudEvents> |
Begärandehuvuden
- Mer information finns i REST-huvuden för Partnercenter.
Begärandetext
Ingen
Exempel på begäran
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
URI-parameter
Du kan använda följande valfria frågeparametrar när du skapar begäran.
| Namn | Typ | Obligatoriskt | Beskrivning |
|---|---|---|---|
| EventStatus | sträng | Nej | Bedrägeriaviseringsstatusen är Aktiv, Löst eller Undersökande. |
| SubscriptionId | sträng | Nej | Azure-prenumerations-ID:t, som har Crypro-gruvaktiviteter |
REST-svar
Om det lyckas returnerar metoden en samling bedrägerihändelser i svarstexten.
Svarsframgång och felkoder
Varje svar levereras med en HTTP-statuskod som anger lyckad eller misslyckad och annan felsökningsinformation. Använd ett verktyg för nätverksspårning för att läsa den här koden, feltypen och fler parametrar. Den fullständiga listan finns i Felkoder.
Svarsexempel
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved" : "9999-12-31T23:59:59.9970000",
"lastObserved" : "9999-12-31T23:59:59.9970000"
}
]
REST-begäran med X-NewEventsModel-huvudet
Syntax för begäran
| Metod | URI för förfrågan |
|---|---|
| GET | [{baseURL}]/v1/fraudEvents> |
Begärandehuvuden
- Mer information finns i REST-huvuden för Partnercenter.
- X-NewEventsModel:
true
Begärandetext
Ingen
Exempel på begäran
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId}&EventType={EventType}&PageSize={PageSize}&PageNumber={PageNumber} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
URI-parameter
Du kan använda följande valfria frågeparametrar när du skapar begäran.
| Namn | Typ | Obligatoriskt | Beskrivning |
|---|---|---|---|
| EventStatus | sträng | Nej | Status för bedrägeriavisering. Det är aktivt, löst eller undersökande. |
| SubscriptionId | sträng | Nej | Azure-prenumerations-ID:t, där de bedrägliga aktiviteterna finns, efterfrågas. |
| EventType | sträng | Nej | Typen av bedrägeriavisering är associerad med bedrägerihändelser. Tillgänglig med X-NewEventsModel-huvudet. Värdena är ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
| PageSize | heltal | Nej | Sidstorleksattributet för sidnumrering är antalet poster per sida. Den är tillgänglig med X-NewEventsModel-huvudet och icke-zero-positiv PageNumber. |
| PageNumber | heltal | Nej | Sidnummerattributet för sidnumrering. Tillgänglig med X-NewEventsModel-huvudet och icke-zero-positiva PageSize. |
REST-svar med X-NewEventsModel-huvudet
Om det lyckas returnerar metoden en samling bedrägerihändelser i svarstexten.
Svarsframgång och felkoder
Varje svar levereras med en HTTP-statuskod som anger lyckad eller misslyckad och annan felsökningsinformation. Använd ett verktyg för nätverksspårning för att läsa den här koden, feltypen och fler parametrar. Den fullständiga listan finns i Felkoder.
Svarsexempel
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"partnerFriendlyName": "test partner",
"customerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved": "9999-12-31T23:59:59.9970000",
"lastObserved": "9999-12-31T23:59:59.9970000",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": { "resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]",
}
]
| Property | Type | Beskrivning |
|---|---|---|
| Händelsetid | datetime | Den tid då aviseringen identifierades |
| eventId | sträng | Den unika identifieraren för aviseringen |
| partnerTenantId | sträng | Klientorganisations-ID:t för den partner som är associerad med aviseringen |
| partnerFriendlyName | sträng | Ett eget namn för partnerklientorganisationen. Mer information finns i Hämta en organisationsprofil. |
| customerTenantId | sträng | Klientorganisations-ID för kunden som är associerad med aviseringen |
| customerFriendlyName | sträng | Ett eget namn för kundklientorganisationen |
| subscriptionId | sträng | Prenumerations-ID för kundklientorganisationen |
| subscriptionType | sträng | Prenumerationstypen för kundklientorganisationen |
| entityId | sträng | Den unika identifieraren för aviseringen |
| entityName | sträng | Namnet på den komprometterade entiteten |
| entityUrl | sträng | Resursens entitets-URL |
| hitCount | sträng | Antalet anslutningar som identifierats mellan firstObserved och lastObserved |
| catalogOfferId | sträng | Prenumerationens moderna erbjudandekategori-ID |
| eventStatus | sträng | Status för aviseringen. Den är aktiv, undersökande eller löst |
| serviceName | sträng | Namnet på den Azure-tjänst som är associerad med aviseringen |
| resourceName | sträng | Namnet på den Azure-resurs som är associerad med aviseringen |
| resourceGroupName | sträng | Namnet på den Azure-resursgrupp som är associerad med aviseringen |
| firstOccurrence | datetime | Starttiden för aviseringen (tidpunkten för den första händelsen eller aktiviteten som ingår i aviseringen). |
| lastOccurrence | datetime | Sluttiden för aviseringen (tidpunkten för den senaste händelsen eller aktiviteten som ingår i aviseringen). |
| resolvedReason | sträng | Orsaken som partnern anger för att hantera aviseringsstatusen |
| resolvedOn | datetime | Tiden då aviseringen löstes |
| resolvedBy | sträng | Användaren som löste aviseringen |
| firstObserved | datetime | Starttiden för aviseringen (tidpunkten för den första händelsen eller aktiviteten som ingår i aviseringen). |
| lastObserved | datetime | Sluttiden för aviseringen (tidpunkten för den senaste händelsen eller aktiviteten som ingår i aviseringen). |
| Händelsetyp | sträng | Typ av avisering. Det är ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
| allvarlighetsgrad | sträng | Allvarlighetsgraden för aviseringen. Värden: Låg, Medel, Hög |
| confidenceLevel | sträng | Konfidensnivån för aviseringen, Värden – Låg, Medel, Hög |
| displayName | sträng | Ett användarvänligt visningsnamn för aviseringen beroende på aviseringstyp. |
| description | sträng | En beskrivning av aviseringen |
| land | string | Landskoden för partnerklientorganisationen |
| valueAddedResellerTenantId | sträng | Klientorganisations-ID för den mervärdesåterförsäljare som är associerad med partnerklientorganisationen och kundklientorganisationen |
| valueAddedResellerFriendlyName | sträng | Ett eget namn för den mervärdesåterförsäljare |
| subscriptionName | sträng | Prenumerationsnamnet på kundklientorganisationen |
| affectedResources | json-matris | Listan över resurser som påverkas. Berörda resurser kan vara tomma för olika aviseringstyper. I så fall måste partnern kontrollera användningen och förbrukningen på prenumerationsnivå. |
| additionalDetails | Json-objekt | En ordlista med andra nyckel/värden-par som krävs för att identifiera och hantera säkerhetsaviseringen. |
| isTest | sträng | En avisering är en testavisering. Det är sant eller falskt. |
| activityLogs | sträng | Aktivitetsloggar för avisering. |