Entiteiten in Microsoft Sentinel verrijken met geolocatiegegevens via REST API (openbare preview)
In dit artikel wordt beschreven hoe u entiteiten in Microsoft Sentinel kunt verrijken met geolocatiegegevens met behulp van de REST API.
Belangrijk
Deze functie is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Algemene URI-parameters
Hier volgen de algemene URI-parameters voor de geolocatie-API:
| Naam | In | Vereist | Type | Description |
|---|---|---|---|---|
| {subscriptionId} | leertraject | ja | GUID | De azure-abonnements-id |
| {resourceGroupName} | leertraject | ja | tekenreeks | De naam van de resourcegroep binnen het abonnement |
| {api-version} | query | ja | tekenreeks | De versie van het protocol dat wordt gebruikt om deze aanvraag te doen. Vanaf 30 april 2021 is de versie van de geolocatie-API 2019-01-01-preview. |
| {ipAddress} | query | ja | tekenreeks | Het IP-adres waarvoor geolocatiegegevens nodig zijn, in een IPv4- of IPv6-indeling. |
IP-adres verrijken met geolocatiegegevens
Met deze opdracht worden geolocatiegegevens opgehaald voor een bepaald IP-adres.
Aanvraag-URI
| Methode | Aanvraag-URI |
|---|---|
| TOEVOEGEN | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Antwoorden
| Statuscode | Description |
|---|---|
| 200 | Geslaagd |
| 400 | IP-adres niet opgegeven of heeft een ongeldige indeling |
| 404 | Er zijn geen geolocatiegegevens gevonden voor dit IP-adres |
| 429 | Te veel aanvragen, probeer het opnieuw in de opgegeven periode |
Velden die worden geretourneerd in het antwoord
| Veldnaam | Beschrijving |
|---|---|
| ASN | Het autonome systeemnummer dat aan dit IP-adres is gekoppeld |
| Vervoerder | De naam van de provider voor dit IP-adres |
| Stad | De plaats waar dit IP-adres zich bevindt |
| cityCf | Een numerieke betrouwbaarheidsclassificatie dat de waarde in het veld 'plaats' juist is, op een schaal van 0-100 |
| Continent | Het continent waar dit IP-adres zich bevindt |
| Land | De provincie waar dit IP-adres zich bevindt |
| countryCf | Een numerieke betrouwbaarheidsclassificatie dat de waarde in het veld 'land' juist is op een schaal van 0-100 |
| Ipaddr | De tekenreeks met stippeltekens of dubbele punten gescheiden tekenreeksen van het IP-adres |
| ipRoutingType | Een beschrijving van het verbindingstype voor dit IP-adres |
| breedtegraad | De breedtegraad van dit IP-adres |
| lengtegraad | De lengtegraad van dit IP-adres |
| Organisatie | De naam van de organisatie voor dit IP-adres |
| organizationType | Het type organisatie voor dit IP-adres |
| regio | De geografische regio waar dit IP-adres zich bevindt |
| Staat | De status waar dit IP-adres zich bevindt |
| stateCf | Een numerieke betrouwbaarheidsclassificatie dat de waarde in het veld 'status' juist is op een schaal van 0-100 |
| stateCode | De verkorte naam voor de status waar dit IP-adres zich bevindt |
Beperkingslimieten voor de API
Deze API heeft een limiet van 100 aanroepen per gebruiker per uur.
Voorbeeldantwoord
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Volgende stappen
Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
Meer informatie over entiteiten:
Andere toepassingen van de Microsoft Sentinel-API verkennen