Notifica di frode di Azure - Ottenere eventi illeciti
Si applica a: API del Centro per i partner
Questo articolo illustra come ottenere l'elenco delle risorse di Azure interessate dalle attività illecite a livello di codice. Per altre informazioni sul rilevamento delle frodi di Azure per i partner, vedere Rilevamento e notifica delle frodi di Azure.
A partire da maggio 2023, i partner pilota possono usare questa API con il nuovo modello di eventi. Con il nuovo modello, è possibile ottenere nuovi tipi di avvisi man mano che vengono aggiunti al sistema( ad esempio, utilizzo di calcolo anomalo, crypto mining, utilizzo di Azure Machine Learning e notifiche di avviso sull'integrità dei servizi).
Prerequisiti
- Credenziali descritte in Autenticazione del Centro per i partner. Questo scenario supporta l'autenticazione con le credenziali dell'app e dell'utente.
Richiesta REST
Sintassi della richiesta
| metodo | URI della richiesta |
|---|---|
| GET | {baseURL}/v1/fraudEvents> |
Intestazioni delle richieste
- Per altre informazioni, vedi Intestazioni REST del Centro per i partner.
Testo della richiesta
None
Esempio di richiesta
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
Parametro URI
È possibile usare i parametri di query facoltativi seguenti durante la creazione della richiesta.
| Nome | Digita | Obbligatorio | Descrizione |
|---|---|---|---|
| EventStatus | string | No | Lo stato dell'avviso di illecito, è Attivo, Risolto o Indagato. |
| SubscriptionId | string | No | ID sottoscrizione di Azure, che ha le attività di crypro-mining |
Risposta REST
In caso di esito positivo, il metodo restituisce una raccolta di eventi illeciti nel corpo della risposta.
Codici di errore e di esito della risposta
Ogni risposta viene fornita con un codice di stato HTTP che indica l'esito positivo o negativo e altre informazioni di debug. Usare uno strumento di traccia di rete per leggere questo codice, il tipo di errore e altri parametri. Per l'elenco completo, vedi Codici di errore.
Risposta di esempio
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "348e932d-ef58-4347-8351-be51e4ec148c",
"partnerFriendlyName": "test partner",
"customerTenantId": "a248da34-6840-4c67-82d7-7f55ccd50d03",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved" : "9999-12-31T23:59:59.9970000",
"lastObserved" : "9999-12-31T23:59:59.9970000"
}
]
Richiesta REST con l'intestazione X-NewEventsModel
Sintassi della richiesta
| metodo | URI della richiesta |
|---|---|
| GET | [{baseURL}]/v1/fraudEvents> |
Intestazioni delle richieste
- Per altre informazioni, vedi Intestazioni REST del Centro per i partner.
- X-NewEventsModel:
true
Testo della richiesta
None
Esempio di richiesta
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId}&EventType={EventType}&PageSize={PageSize}&PageNumber={PageNumber} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
Parametro URI
È possibile usare i parametri di query facoltativi seguenti durante la creazione della richiesta.
| Nome | Digita | Obbligatorio | Descrizione |
|---|---|---|---|
| EventStatus | string | No | Stato dell'avviso di illecito. È attivo, risolto o indagato. |
| SubscriptionId | string | No | ID sottoscrizione di Azure in cui vengono eseguite query sulle attività fraudolente. |
| EventType | string | No | Il tipo di avviso di illecito è associato a eventi illeciti. Disponibile con l'intestazione X-NewEventsModel. I valori sono ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
| PageSize | int | No | L'attributo dimensioni pagina per la paginazione è il numero di record per pagina. È disponibile con l'intestazione X-NewEventsModel e il valore PageNumber diverso da zero. |
| PageNumber | int | No | Attributo numero di pagina per la paginazione. Disponibile con l'intestazione X-NewEventsModel e pageSize diverso da zero. |
Risposta REST con l'intestazione X-NewEventsModel
In caso di esito positivo, il metodo restituisce una raccolta di eventi illeciti nel corpo della risposta.
Codici di errore e di esito della risposta
Ogni risposta viene fornita con un codice di stato HTTP che indica l'esito positivo o negativo e altre informazioni di debug. Usare uno strumento di traccia di rete per leggere questo codice, il tipo di errore e altri parametri. Per l'elenco completo, vedi Codici di errore.
Risposta di esempio
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "348e932d-ef58-4347-8351-be51e4ec148c",
"partnerFriendlyName": "test partner",
"customerTenantId": "a248da34-6840-4c67-82d7-7f55ccd50d03",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved": "9999-12-31T23:59:59.9970000",
"lastObserved": "9999-12-31T23:59:59.9970000",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "897e68c5-fdf8-330e-bb54-3b386e0906b0",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": { "resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]",
}
]
| Proprietà | Type | Descrizione |
|---|---|---|
| eventTime | datetime | Ora in cui è stato rilevato l'avviso |
| eventId | string | Identificatore univoco per l'avviso |
| partnerTenantId | string | ID tenant del partner associato all'avviso |
| partnerFriendlyName | string | Nome descrittivo per il tenant partner. Per altre informazioni, vedere Ottenere un profilo dell'organizzazione. |
| customerTenantId | string | ID tenant del cliente associato all'avviso |
| customerFriendlyName | string | Nome descrittivo per il tenant del cliente |
| subscriptionId | string | ID sottoscrizione del tenant del cliente |
| subscriptionType | string | Tipo di sottoscrizione del tenant del cliente |
| entityId | string | Identificatore univoco per l'avviso |
| entityName | string | Nome dell'entità compromessa |
| entityUrl | string | URL dell'entità della risorsa |
| hitCount | string | Numero di connessioni rilevate tra firstObserved e lastObserved |
| catalogOfferId | string | ID categoria dell'offerta moderna della sottoscrizione |
| eventStatus | string | Stato dell'avviso. È attivo, indagato o risolto |
| serviceName | string | Nome del servizio di Azure associato all'avviso |
| resourceName | string | Nome della risorsa di Azure associata all'avviso |
| resourceGroupName | string | Nome del gruppo di risorse di Azure associato all'avviso |
| firstOccurrence | datetime | Ora di inizio dell'avviso (ora del primo evento o dell'attività inclusa nell'avviso). |
| lastOccurrence | datetime | Ora di fine dell'avviso (ora dell'ultimo evento o dell'attività inclusa nell'avviso). |
| resolvedReason | string | Motivo fornito dal partner per risolvere lo stato dell'avviso |
| resolvedOn | datetime | Ora in cui l'avviso è stato risolto |
| resolvedBy | string | Utente che ha risolto l'avviso |
| firstObserved | datetime | Ora di inizio dell'avviso (ora del primo evento o dell'attività inclusa nell'avviso). |
| lastObserved | datetime | Ora di fine dell'avviso (ora dell'ultimo evento o dell'attività inclusa nell'avviso). |
| eventType | string | Tipo di avviso. È ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
| severity | string | La gravità dell'avviso. Valori: Basso, Medio, Alto |
| confidenceLevel | string | Livello di attendibilità dell'avviso, Valori- Basso, Medio, Alto |
| displayName | string | Nome visualizzato descrittivo per l'avviso a seconda del tipo di avviso. |
| description | stringa | Descrizione dell'avviso |
| country | string | Codice paese per il tenant partner |
| valueAddedResellerTenantId | string | ID tenant del rivenditore aggiunto associato al tenant partner e al tenant del cliente |
| valueAddedResellerFriendlyName | string | Nome descrittivo per il rivenditore aggiunto di valore |
| subscriptionName | string | Nome della sottoscrizione del tenant del cliente |
| affectedResources | Matrice json | Elenco delle risorse interessate. Le risorse interessate potrebbero essere Vuote per tipi di avviso diversi. In tal caso, il partner deve controllare l'utilizzo e il consumo a livello di sottoscrizione. |
| additionalDetails | Oggetto Json | Dizionario di altre coppie chiave-valore dettagli necessarie per identificare e gestire l'avviso di sicurezza. |
| isTest | string | Un avviso è di test. È vero o falso. |
| activityLogs | string | Log attività per gli avvisi. |