Arricchire le entità in Microsoft Sentinel con i dati di georilevazione tramite l'API REST (anteprima pubblica)
Questo articolo illustra come arricchire le entità in Microsoft Sentinel con i dati di georilevazione usando l'API REST.
Importante
Questa funzionalità è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Parametri URI comuni
Di seguito sono riportati i parametri URI comuni per l'API di georilevazione:
| Nome | In | Obbligatoria | Tipo | Descrizione |
|---|---|---|---|---|
| {subscriptionId} | path | sì | GUID | ID sottoscrizione di Azure |
| {resourceGroupName} | path | sì | string | Nome del gruppo di risorse all'interno della sottoscrizione |
| {api-version} | query | sì | string | Versione del protocollo utilizzata per effettuare questa richiesta. A partire dal 30 aprile 2021, la versione dell'API di georilevazione è 2019-01-01-preview. |
| {ipAddress} | query | sì | string | Indirizzo IP per cui sono necessarie le informazioni di georilevazione, in formato IPv4 o IPv6. |
Arricchire l'indirizzo IP con informazioni sulla georilevazione
Questo comando recupera i dati di georilevazione per un determinato indirizzo IP.
URI richiesta
| Metodo | URI richiesta |
|---|---|
| GET | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Risposte
| Codice stato | Descrizione |
|---|---|
| 200 | Operazione riuscita |
| 400 | Indirizzo IP non specificato o non valido |
| 404 | Dati di georilevazione non trovati per questo indirizzo IP |
| 429 | Troppe richieste, riprovare nell'intervallo di tempo specificato |
Campi restituiti nella risposta
| Nome campo | Descrizione |
|---|---|
| ASN | Numero di sistema autonomo associato a questo indirizzo IP |
| Vettore | Nome del gestore telefonico per questo indirizzo IP |
| Città | Città in cui si trova questo indirizzo IP |
| cityCf | Classificazione numerica di attendibilità che il valore nel campo "città" è corretto, su una scala di 0-100 |
| Continente | Il continente in cui si trova questo indirizzo IP |
| country | Contea in cui si trova questo indirizzo IP |
| countryCf | Una classificazione numerica di confidenza che il valore nel campo "paese" sia corretto su una scala di 0-100 |
| ipAddr | Rappresentazione di stringa delimitata da punti e decimali o due punti dell'indirizzo IP |
| ipRoutingType | Descrizione del tipo di connessione per questo indirizzo IP |
| latitude | Latitudine di questo indirizzo IP |
| longitude | Longitudine di questo indirizzo IP |
| Organizzazione | Nome dell'organizzazione per questo indirizzo IP |
| organizationType | Tipo dell'organizzazione per questo indirizzo IP |
| region | Area geografica in cui si trova questo indirizzo IP |
| state | Stato in cui si trova questo indirizzo IP |
| stateCf | Classificazione numerica di confidenza che il valore nel campo "stato" sia corretto su una scala di 0-100 |
| stateCode | Nome abbreviato per lo stato in cui si trova questo indirizzo IP |
Limiti di limitazione per l'API
Questa API ha un limite di 100 chiamate, per utente, all'ora.
Risposta di esempio
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Passaggi successivi
Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: