Enriquecer entidades no Microsoft Sentinel com os dados de geolocalização por meio da API REST (versão prévia pública)
Este artigo mostra como enriquecer entidades no Microsoft Sentinel com os dados de geolocalização usando a API REST.
Importante
Esse recurso está em VERSÃO PRÉVIA no momento. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Parâmetros comuns de URI
Confira os parâmetros de URI comuns para a API de geolocalização:
| Nome | Em | Obrigatório | Type | Descrição |
|---|---|---|---|---|
| {subscriptionId} | caminho | sim | GUID | A ID da assinatura do Azure |
| {resourceGroupName} | caminho | sim | string | O nome do grupo de recursos na assinatura |
| {api-version} | Consulta | sim | string | A versão do protocolo usado para fazer essa solicitação. Desde 30 de abril de 2021, a versão da API de geolocalização é 2019-01-01-preview. |
| {ipAddress} | Consulta | sim | string | O endereço IP para o qual as informações de geolocalização são necessárias, em um formato IPv4 ou IPv6. |
Enriquecer o endereço IP com informações de geolocalização
Esse comando recupera os dados de geolocalização para um endereço IP especificado.
URI da solicitação
| Método | URI da solicitação |
|---|---|
| GET | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Respostas
| Código de status | Descrição |
|---|---|
| 200 | Êxito |
| 400 | Endereço IP não fornecido ou em formato inválido |
| 404 | Dados de geolocalização não encontrados para esse endereço IP |
| 429 | Excesso de solicitações; tente novamente no período especificado |
Campos retornados na resposta
| Nome do campo | Descrição |
|---|---|
| ASN | O número do sistema autônomo associado a esse endereço IP |
| carrier | O nome da operadora desse endereço IP |
| city | A cidade em que esse endereço IP está localizado |
| cityCf | Uma classificação numérica de confiança de que o valor no campo 'city' está correto, em uma escala de 0 a 100 |
| continent | O continente em que esse endereço IP está localizado |
| country | O país em que esse endereço IP está localizado |
| countryCf | Uma classificação numérica de confiança de que o valor no campo 'country' está correto, em uma escala de 0 a 100 |
| ipAddr | A representação de cadeia de caracteres de valor decimal com pontos ou separada por dois-pontos do endereço IP |
| ipRoutingType | Uma descrição do tipo de conexão para esse endereço IP |
| latitude | A latitude desse endereço IP |
| longitude | A longitude desse endereço IP |
| organization | O nome da organização desse endereço IP |
| organizationType | O tipo da organização desse endereço IP |
| região | A região geográfica em que esse endereço IP está localizado |
| state | O estado em que esse endereço IP está localizado |
| stateCf | Uma classificação numérica de confiança de que o valor no campo 'state' está correto, em uma escala de 0 a 100 |
| stateCode | O nome abreviado do estado em que esse endereço IP está localizado |
Limites da API
Essa API tem um limite de 100 chamadas, por usuário, por hora.
Resposta de exemplo
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Próximas etapas
Para saber mais sobre o Microsoft Azure Sentinel, confira os artigos a seguir:
Saiba mais sobre entidades:
Explorar outros usos da API do Microsoft Sentinel