Уведомление о мошенничестве Azure. Получение событий мошенничества
Область применения: API Центра партнеров
В этой статье объясняется, как программно получить список ресурсов Azure, затронутых действиями мошенничества. Дополнительные сведения об обнаружении мошенничества Azure для партнеров см. в статье об обнаружении и уведомлении об мошенничестве Azure.
По состоянию на май 2023 года пилотные партнеры могут использовать этот API с новой моделью событий. С помощью новой модели вы можете получать новые типы оповещений по мере их добавления в систему (например, аномального использования вычислений, интеллектуального анализа криптографии, Машинное обучение Azure уведомлений об использовании и работоспособности служб).
Необходимые компоненты
- Учетные данные, описанные в статье о проверке подлинности в Центре партнеров. Этот сценарий поддерживает проверку подлинности с использованием учетных данных приложений и пользователей.
Запрос REST
Синтаксис запроса
| Способ | URI запроса |
|---|---|
| GET | {baseURL}/v1/fraudEvents> |
Заголовки запросов
- Дополнительные сведения см. в статье о заголовках REST Центра партнеров.
Текст запроса
нет
Пример запроса
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
Параметр универсального кода ресурса
При создании запроса можно использовать следующие необязательные параметры запроса.
| Имя. | Type | Обязательно | Описание |
|---|---|---|---|
| EventStatus | строка | Нет | Состояние оповещения о мошенничестве, оно активно, разрешено или расследуется. |
| SubscriptionId | строка | Нет | Идентификатор подписки Azure, имеющий действия Crypro-mining |
Ответ REST
В случае успешного выполнения метод возвращает коллекцию событий мошенничества в теле ответа.
Коды успешного выполнения и ошибок в ответе
Каждый ответ содержит код состояния HTTP, указывающий на успешность или сбой, а также другие сведения об отладке. Используйте средство трассировки сети для чтения этого кода, типа ошибки и других параметров. См. полный список кодов ошибок.
Пример ответа
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "348e932d-ef58-4347-8351-be51e4ec148c",
"partnerFriendlyName": "test partner",
"customerTenantId": "a248da34-6840-4c67-82d7-7f55ccd50d03",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved" : "9999-12-31T23:59:59.9970000",
"lastObserved" : "9999-12-31T23:59:59.9970000"
}
]
ЗАПРОС REST с заголовком X-NewEventsModel
Синтаксис запроса
| Способ | URI запроса |
|---|---|
| GET | [{baseURL}]/v1/fraudEvents> |
Заголовки запросов
- Дополнительные сведения см. в статье о заголовках REST Центра партнеров.
- X-NewEventsModel:
true
Текст запроса
нет
Пример запроса
GET https://api.partnercenter.microsoft.com/v1/fraudEvents?EventStatus={EventStatus}&SubscriptionId={SubscriptionId}&EventType={EventType}&PageSize={PageSize}&PageNumber={PageNumber} HTTP/1.1
Authorization: Bearer <token>
Host: api.partnercenter.microsoft.com
Content-Type: application/json
X-NewEventsModel: true
Параметр универсального кода ресурса
При создании запроса можно использовать следующие необязательные параметры запроса.
| Имя. | Type | Обязательно | Описание |
|---|---|---|---|
| EventStatus | строка | Нет | Состояние оповещения о мошенничестве. Он активен, разрешен или расследуется. |
| SubscriptionId | строка | Нет | Идентификатор подписки Azure, на который запрашиваются мошеннические действия. |
| EventType | строка | Нет | Тип оповещения о мошенничестве связан с событиями мошенничества. Доступно с заголовком X-NewEventsModel. Значения: ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
| PageSize | INT | No | Атрибут размера страницы для разбиения на страницы — это количество записей на страницу. Он доступен с заголовком X-NewEventsModel и ненулевым положительным PageNumber. |
| PageNumber | INT | No | Атрибут номера страницы для разбиения на страницы. Доступно с заголовком X-NewEventsModel и ненулевым положительным PageSize. |
Ответ REST с заголовком X-NewEventsModel
В случае успешного выполнения метод возвращает коллекцию событий мошенничества в теле ответа.
Коды успешного выполнения и ошибок в ответе
Каждый ответ содержит код состояния HTTP, указывающий на успешность или сбой, а также другие сведения об отладке. Используйте средство трассировки сети для чтения этого кода, типа ошибки и других параметров. См. полный список кодов ошибок.
Пример ответа
HTTP/1.1 200 OK
Content-Length: 313
Content-Type: application/json
MS-CorrelationId: aaaa0000-bb11-2222-33cc-444444dddddd
MS-RequestId: 566330a7-1e4b-4848-9c23-f135c70fd810
Date: Thu, 21 May 2020 22:29:17 GMT
[
{
"eventTime": "2021-12-08T00:25:45.69",
"eventId": "2a7064fb-1e33-4007-974e-352cb3f2c805_2edeb5b1-766f-4209-9271-3ddf27755afa",
"partnerTenantId": "348e932d-ef58-4347-8351-be51e4ec148c",
"partnerFriendlyName": "test partner",
"customerTenantId": "a248da34-6840-4c67-82d7-7f55ccd50d03",
"customerFriendlyName": "test customer",
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"subscriptionType": "modern",
"entityId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"entityName": "sampleentity",
"entityUrl": "\\sample\\entity\\url",
"hitCount": "10",
"catalogOfferId": "ms-azr-17g",
"eventStatus": "Active",
"serviceName": "sampleservice",
"resourceName": "sampleresource",
"resourceGroupName": "sampleresourcegroup",
"firstOccurrence": "2021-12-08T00:25:45.69",
"lastOccurrence": "2021-12-08T00:25:45.69",
"resolvedReason": "None",
"resolvedOn": "9999-12-31T23:59:59.9970000",
"resolvedBy": ""
"firstObserved": "9999-12-31T23:59:59.9970000",
"lastObserved": "9999-12-31T23:59:59.9970000",
"eventType": "NetworkConnectionsToCryptoMiningPools",
"severity": "Medium",
"confidenceLevel": "high",
"displayName": "sample display name",
"description": "sample description.",
"country": "US",
"valueAddedResellerTenantId": "897e68c5-fdf8-330e-bb54-3b386e0906b0",
"valueAddedResellerFriendlyName": "Sample Reseller Name",
"subscriptionName": "sample Subscription Name",
"affectedResources": [
{
"azureResourceId": "\\sample\\resource\\url ",
"type": "sample resource type"
}
],
"additionalDetails": { "resourceid": "\\sample\\resource\\id ",
"resourcetype": "sample resource type",
"vM_IP": "[\r\n \"13.89.185.189\"\r\n]",
"miningPool_IP": "[\r\n \"104.243.33.118\"\r\n]",
"connectionCount": "31",
"cryptoCurrencyMiningPoolDomainName": "sample pool domain name"
},
"IsTest": "false",
"activityLogs": "[
{
"statusFrom": "Active",
"statusTo": "Investigating",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:34:27.8016635+05:30"
},
{
"statusFrom": "Investigating",
"statusTo": "Resolved",
"updatedBy": "admin@testtestcsp022.onmicrosoft.com",
"dateTime": "2023-07-10T12:38:26.693182+05:30"
}
]",
}
]
| Свойство | Type | Описание |
|---|---|---|
| eventTime | datetime | Время обнаружения оповещения |
| eventId | строка | Уникальный идентификатор оповещения |
| partnerTenantId | строка | Идентификатор клиента партнера, связанного с оповещением |
| partnerFriendlyName | строка | Понятное имя для клиента партнера. Дополнительные сведения см. в статье "Получение профиля организации". |
| customerTenantId | строка | Идентификатор клиента, связанного с оповещением |
| customerFriendlyName | строка | Понятное имя клиента |
| subscriptionId | строка | Идентификатор подписки клиента |
| subscriptionType | строка | Тип подписки клиента |
| entityId | строка | Уникальный идентификатор оповещения |
| entityName | строка | Имя скомпрометированного объекта |
| entityUrl | строка | URL-адрес сущности ресурса |
| hitCount | строка | Количество подключений, обнаруженных между firstObserved и lastObserved |
| catalogOfferId | строка | Идентификатор современной категории предложения подписки |
| eventStatus | строка | Состояние оповещения. Он активен, расследует или разрешено |
| serviceName | строка | Имя службы Azure, связанной с оповещением |
| resourceName | строка | Имя ресурса Azure, связанного с оповещением |
| resourceGroupName | строка | Имя группы ресурсов Azure, связанной с оповещением |
| firstOccurrence | datetime | Время начала оповещения (время первого события или действия, включенного в оповещение). |
| lastOccurrence | datetime | Время окончания действия оповещения (время последнего события или действия, включенного в оповещение). |
| resolvedReason | строка | Причина, предоставленная партнером по устранению состояния оповещения |
| resolvedOn | datetime | Время разрешения оповещения |
| resolvedBy | строка | Пользователь, который разрешил оповещение |
| firstObserved | datetime | Время начала оповещения (время первого события или действия, включенного в оповещение). |
| lastObserved | datetime | Время окончания действия оповещения (время последнего события или действия, включенного в оповещение). |
| eventType | строка | Тип оповещения. It's ServiceHealthSecurityAdvisory, UsageAnomalyDetection, MultiRegionVirtualMachineScaleSetDeploymentAnomaly, NetworkConnectionsToCryptoMiningPools, VirtualMachineDeploymentAnomaly, MultiRegionMachineLearningUsageAnomaly |
| severity | строка | Уровень серьезности оповещения. Значения: низкий, средний, высокий |
| confidenceLevel | строка | Уровень достоверности оповещения, значения — низкий, средний, высокий |
| displayName | строка | Понятное отображаемое имя оповещения в зависимости от типа оповещения. |
| описание | строка | Описание оповещения |
| country | string | Код страны для клиента партнера |
| valueAddedResellerTenantId | строка | Идентификатор клиента добавленного торгового посредника, связанного с клиентом партнера и клиентом клиента |
| valueAddedResellerFriendlyName | строка | Понятное имя добавленного торгового посредника |
| subscriptionName | строка | Имя подписки клиента |
| affectedResources | Массив json | Список затронутых ресурсов. Затронутые ресурсы могут быть пустыми для различных типов оповещений. В этом случае партнеру необходимо проверить использование и потребление на уровне подписки. |
| additionalDetails | Объект Json | Словарь других пар "ключ-значения", необходимых для идентификации оповещения системы безопасности и управления ими. |
| isTest | строка | Оповещение — это тестовое оповещение. Это значение true или false. |
| activityLogs | строка | Журналы действий для оповещения. |