Azure-Betrugsbenachrichtigung: Aktualisieren des Betrugsereignisstatus
Gilt für: Partner Center-API
Nachdem Sie die Betrugsaktivitäten für jede gemeldete Azure-Ressource untersucht und das Verhalten als betrügerisch oder legitimiert ermittelt haben, können Sie diese API verwenden, um den Betrugsereignisstatus mit dem entsprechenden Grund zu aktualisieren.
Hinweis
Diese API aktualisiert nur den Ereignisstatus, die Betrugsaktivität wird nicht im Auftrag von CSP-Partnern aufgelöst.
Ab Mai 2023 können Pilotpartner diese API mit dem Neuen Ereignismodell verwenden. Mit dem neuen Modell können Sie neue Arten von Warnungen aktualisieren, wenn sie dem System hinzugefügt werden, z. B. anomale Computenutzung, Krypto-Mining, Azure Machine Learning-Nutzungs- und Dienstintegritätshinweisbenachrichtigungen.
Voraussetzungen
- Anmeldeinformationen, wie unter Partner Center-Authentifizierung beschrieben. In diesem Szenario wird die Authentifizierung mit App- und Benutzeranmeldeinformationen unterstützt.
REST-Anforderung
Anforderungssyntax
| Methode | Anforderungs-URI |
|---|---|
| POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
Anforderungsheader
- Weitere Informationen finden Sie unter Partner Center-REST-Header.
Anforderungstext
Keine.
Beispiel für eine Anfrage
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI-Parameter
Verwenden Sie beim Erstellen der Anforderung die folgenden optionalen Abfrageparameter.
| Name | Typ | Erforderlich | Beschreibung |
|---|---|---|---|
| SubscriptionId | Zeichenfolge | Ja | Die Azure-Abonnement-ID, die über die Crypro-Mining-Aktivitäten verfügt |
Anforderungstext
| Eigenschaft | type | Erforderlich | Beschreibung |
|---|---|---|---|
| eventIds | string[] | Nein | Beibehalten von eventIds als leer, wenn Sie den Status für alle Betrugsereignisse unter der angegebenen Abonnement-ID aktualisieren möchten |
| eventStatus | Zeichenfolge | Nein | Der Status der Betrugswarnung. Es kann entweder aktiv, aufgelöst oder untersucht werden. |
| resolvedReason | Zeichenfolge | Ja | Wenn das Betrugsereignis aufgelöst wird, legen Sie einen geeigneten Grundcode fest, die akzeptierten Grundcodes sind Betrug oder Ignorieren |
REST-Antwort
Bei erfolgreicher Ausführung gibt diese Methode eine Sammlung von Betrugsereignissen im Antworttext zurück.
Erfolgs- und Fehlercodes der Antwort
Jede Antwort enthält einen HTTP-Statuscode, der Erfolg oder Fehler und weitere Debuginformationen angibt. Verwenden Sie ein Netzwerkablaufverfolgungstool, um diesen Code, fehlertyp und weitere Parameter zu lesen. Die vollständige Liste findest du unter Partner-API: REST-Fehlercodes.
Beispielantwort
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "348e932d-ef58-4347-8351-be51e4ec148c",
"partnerFriendlyName": "test partner",
"customerTenantId": "a248da34-6840-4c67-82d7-7f55ccd50d03",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com"
}
]
REST-Anforderung mit dem X-NewEventsModel-Header
Anforderungssyntax
| MethodRequest | URI |
|---|---|
| POST | {baseURL}/v1/fraudEvents/subscription/{subscriptionId}/status |
Anforderungsheader
- X-NewEventsModel: true
- Weitere Informationen finden Sie unter Partner Center-REST-Header.
Anforderungstext
{
"EventIds": ["string"],
"EventStatus": "Resolved",
"ResolvedReason": "Fraud"
}
Beispiel für eine Anfrage
POST https://api.partnercenter.microsoft.com/v1/fraudEvents/subscription/{subscriptionId}/status} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
{
"EventIds": ["2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa"],
"EventStatus" : "Resolved",
"ResolvedReason": "Fraud"
}
URI-Parameter
Verwenden Sie beim Erstellen der Anforderung die folgenden optionalen Abfrageparameter.
| Name | Typ | Erforderlich | Beschreibung |
|---|---|---|---|
| SubscriptionId | Zeichenfolge | Ja | Die Azure-Abonnement-ID, die über die Crypro-Mining-Aktivitäten verfügt |
Anforderungstext
| Eigenschaft | type | Erforderlich | Beschreibung |
|---|---|---|---|
| eventIds | string[] | Nein | Beibehalten von eventIds als leer, wenn Sie den Status für alle Betrugsereignisse unter der angegebenen Abonnement-ID aktualisieren möchten |
| eventStatus | Zeichenfolge | Ja | Legen Sie ihn auf "Auflösen" fest, um das Betrugsereignis aufzulösen , oder legen Sie ihn auf "Untersuchen " fest, um ein Betrugsereignis zu untersuchen. |
| resolvedReason | Zeichenfolge | Ja | Wenn das Betrugsereignis aufgelöst wird, legen Sie einen geeigneten Grundcode fest, die akzeptierten Grundcodes sind Betrug oder Ignorieren |
REST-Antwort
Bei erfolgreicher Ausführung gibt die Methode eine Sammlung von Betrugsereignissen mit erweiterten Attributen im Antworttext zurück.
Erfolgs- und Fehlercodes der Antwort
Jede Antwort enthält einen HTTP-Statuscode, der Erfolg oder Fehler und weitere Debuginformationen angibt. Verwenden Sie ein Netzwerkablaufverfolgungstool, um diesen Code, fehlertyp und weitere Parameter zu lesen. Die vollständige Liste findest du unter Partner-API: REST-Fehlercodes.
Beispielantwort
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "348e932d-ef58-4347-8351-be51e4ec148c",
"partnerFriendlyName": "test partner",
"customerTenantId": "a248da34-6840-4c67-82d7-7f55ccd50d03",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Resolved",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "Fraud",
"resolvedOn": "2021-12-08T11:25:45.69",
"resolvedBy": "adminagent@test.com",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "897e68c5-fdf8-430e-bb54-3b386e0906b0",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": {
"resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]"
}
}
]
| Eigenschaft | Type | Beschreibung |
|---|---|---|
| eventTime | datetime | Zeitpunkt, zu dem die Warnung erkannt wurde |
| Eventid | Zeichenfolge | Der eindeutige Bezeichner für die Warnung |
| partnerTenantId | Zeichenfolge | Die Mandanten-ID des Partners, der der Warnung zugeordnet ist |
| partnerFriendlyName | Zeichenfolge | Ein Anzeigename für den Partnermandanten |
| customerTenantId | Zeichenfolge | Die Mandanten-ID des Kunden, der der Warnung zugeordnet ist |
| customerFriendlyName | Zeichenfolge | Ein Anzeigename für den Kundenmandanten |
| subscriptionId | Zeichenfolge | Die Abonnement-ID des Kundenmandanten |
| subscriptionType | Zeichenfolge | Der Abonnementtyp des Kundenmandanten |
| entityId | Zeichenfolge | Der eindeutige Bezeichner für die Warnung |
| entityName | Zeichenfolge | Der Name der Entität, die kompromittiert wurde |
| entityUrl | Zeichenfolge | Die Entitäts-URL der Ressource |
| hitCount | Zeichenfolge | Die Anzahl der verbindungen, die zwischen firstObserved und lastObserved erkannt wurden |
| catalogOfferId | Zeichenfolge | Die moderne Angebotskategorie-ID des Abonnements |
| eventStatus | Zeichenfolge | Der Status der Warnung: Aktiv, Wird untersucht oder aufgelöst |
| serviceName | Zeichenfolge | Der Name des Azure-Diensts, der der Warnung zugeordnet ist |
| resourceName | Zeichenfolge | Der Name der Azure-Ressource, die der Warnung zugeordnet ist |
| resourceGroupName | Zeichenfolge | Der Name der Azure-Ressourcengruppe, die der Warnung zugeordnet ist |
| firstOccurrence | datetime | Die Auswirkung der Startzeit der Warnung (die Uhrzeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung enthalten ist). |
| lastOccurrence | datetime | Die Auswirkungen endzeit der Warnung (die Uhrzeit des letzten Ereignisses oder der letzten Aktivität, die in der Warnung enthalten ist). |
| resolvedReason | Zeichenfolge | Der Vom Partner bereitgestellte Grund für die Adressierung des Warnungsstatus |
| resolvedOn | datetime | Der Zeitpunkt, zu dem die Warnung aufgelöst wurde |
| resolvedBy | Zeichenfolge | Der Benutzer, der die Warnung aufgelöst hat |
| firstObserved | datetime | Die Auswirkung der Startzeit der Warnung (die Uhrzeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung enthalten ist). |
| lastObserved | datetime | Die Auswirkungen endzeit der Warnung (die Uhrzeit des letzten Ereignisses oder der letzten Aktivität, die in der Warnung enthalten ist). |
| eventType | Zeichenfolge | Der Typ der Warnung: ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, Network Verbinden ionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
| severity | Zeichenfolge | Der Schweregrad der Warnung. Werte: Niedrig, Mittel, Hoch |
| confidenceLevel | Zeichenfolge | Das Konfidenzniveau der Warnung, Werte- Niedrig, Mittel, Hoch |
| displayName | Zeichenfolge | Ein benutzerfreundlicher Anzeigename für die Warnung, abhängig vom Warnungstyp. |
| Beschreibung | string | Eine Beschreibung der Warnung |
| country | Zeichenfolge | Der Ländercode für den Partnermandanten |
| valueAddedResellerTenantId | Zeichenfolge | Die Mandanten-ID des Mehrwerthändlers, der dem Partnermandanten und dem Kundenmandanten zugeordnet ist |
| valueAddedResellerFriendlyName | Zeichenfolge | Ein Anzeigename für den Mehrwert-Wiederverkäufer |
| subscriptionName | Zeichenfolge | Der Abonnementname des Kundenmandanten |
| Betroffene Ressourcen | json-Array | Die Liste der betroffenen Ressourcen. Betroffene Ressourcen können für unterschiedliche Warnungstypen leer sein. Wenn ja, muss der Partner die Nutzung und den Verbrauch auf Abonnementebene überprüfen. |
| additionalDetails | Json-Objekt | Ein Wörterbuch mit anderen Detailschlüsselwertpaaren, die zum Identifizieren und Verwalten der Sicherheitswarnung erforderlich sind. |
| isTest | Zeichenfolge | Wenn eine Warnung für den Test generiert wird, wird sie auf "true " oder " false" festgelegt. |
| activityLogs | Zeichenfolge | Aktivitätsprotokolle für Warnungen. |