Wzbogacanie jednostek w usłudze Microsoft Sentinel przy użyciu danych geolokalizacji za pośrednictwem interfejsu API REST (publiczna wersja zapoznawcza)
W tym artykule pokazano, jak wzbogacić jednostki w usłudze Microsoft Sentinel przy użyciu danych geolokalizacji przy użyciu interfejsu API REST.
Ważne
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Typowe parametry identyfikatora URI
Poniżej przedstawiono typowe parametry identyfikatora URI dla interfejsu API geolokalizacji:
| Nazwa | W | Wymagany | Typ | Opis |
|---|---|---|---|---|
| {subscriptionId} | path | tak | GUID | Identyfikator subskrypcji platformy Azure |
| {resourceGroupName} | path | tak | ciąg | Nazwa grupy zasobów w ramach subskrypcji |
| {wersja interfejsu API} | query | tak | ciąg | Wersja protokołu użytego do wykonania tego żądania. Od 30 kwietnia 2021 r. interfejs API geolokalizacji to 2019-01-01-preview. |
| {ipAddress} | query | tak | ciąg | Adres IP, dla którego są potrzebne informacje o geolokalizacji w formacie IPv4 lub IPv6. |
Wzbogacanie adresu IP za pomocą informacji o geolokalizacji
To polecenie pobiera dane geolokalizacji dla danego adresu IP.
Identyfikator URI żądania
| Metoda | Identyfikator URI żądania |
|---|---|
| GET | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Odpowiedzi
| Kod stanu | Opis |
|---|---|
| 200 | Powodzenie |
| 400 | Nie podano adresu IP lub jest on w nieprawidłowym formacie |
| 404 | Nie można odnaleźć danych geolokalizacji dla tego adresu IP |
| 429 | Zbyt wiele żądań, spróbuj ponownie w określonym przedziale czasu |
Pola zwrócone w odpowiedzi
| Nazwa pola | Opis |
|---|---|
| ASN | Numer systemu autonomicznego skojarzony z tym adresem IP |
| Przewoźnika | Nazwa operatora dla tego adresu IP |
| Miasta | Miasto, w którym znajduje się ten adres IP |
| cityCf | Ocena liczbowa pewności, że wartość w polu "miasto" jest poprawna w skali od 0 do 100 |
| Kontynencie | Kontynent, na którym znajduje się ten adres IP |
| Kraju | Hrabstwo, w którym znajduje się ten adres IP |
| countryCf | Ocena liczbowa pewności, że wartość pola "kraj" jest poprawna w skali od 0 do 100 |
| ipAddr | Ciąg rozdzielany kropkami lub dwukropkiem reprezentujący adres IP |
| ipRoutingType | Opis typu połączenia dla tego adresu IP |
| latitude | Szerokość geograficzna tego adresu IP |
| Długość geograficzna | Długość geograficzna tego adresu IP |
| Organizacji | Nazwa organizacji dla tego adresu IP |
| typ organizacji | Typ organizacji dla tego adresu IP |
| Region | Region geograficzny, w którym znajduje się ten adres IP |
| Państwa | Stan, w którym znajduje się ten adres IP |
| stateCf | Ocena liczbowa pewności, że wartość w polu "state" jest poprawna w skali od 0 do 100 |
| stateCode | Skrócona nazwa stanu, w którym znajduje się ten adres IP |
Limity ograniczania przepustowości dla interfejsu API
Ten interfejs API ma limit 100 wywołań na użytkownika, na godzinę.
Przykładowa odpowiedź
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Następne kroki
Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:
Dowiedz się więcej o jednostkach:
Eksplorowanie innych zastosowań interfejsu API usługi Microsoft Sentinel