Berika entiteter i Microsoft Sentinel med geoplatsdata via REST API (offentlig förhandsversion)
Den här artikeln visar hur du berikar entiteter i Microsoft Sentinel med geoplatsdata med hjälp av REST-API:et.
Viktigt
Den här funktionen är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Vanliga URI-parametrar
Följande är de vanliga URI-parametrarna för geoplats-API:et:
| Name | I | Krävs | Typ | Beskrivning |
|---|---|---|---|---|
| {subscriptionId} | path | ja | GUID | Azure-prenumerations-ID:t |
| {resourceGroupName} | path | ja | sträng | Namnet på resursgruppen i prenumerationen |
| {api-version} | query | ja | sträng | Den version av protokollet som används för att göra den här begäran. Från och med den 30 april 2021 är geoplats-API-versionen 2019-01-01-preview. |
| {ipAddress} | query | ja | sträng | DEN IP-adress för vilken geoplatsinformation krävs, i IPv4- eller IPv6-format. |
Utöka IP-adress med geoplatsinformation
Det här kommandot hämtar geoplatsdata för en viss IP-adress.
URI för förfrågan
| Metod | URI för förfrågan |
|---|---|
| FÅ | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Svar
| Statuskod | Description |
|---|---|
| 200 | Klart |
| 400 | IP-adressen har inte angetts eller är i ogiltigt format |
| 404 | Geoplatsdata hittades inte för den här IP-adressen |
| 429 | För många begäranden, försök igen inom den angivna tidsramen |
Fält som returneras i svaret
| Fältnamn | Beskrivning |
|---|---|
| ASN | Det autonoma systemnummer som är associerat med den här IP-adressen |
| Bärare | Namnet på transportföretaget för den här IP-adressen |
| city | Orten där den här IP-adressen finns |
| cityCf | Ett numeriskt omdöme av förtroende för att värdet i fältet "stad" är korrekt, på en skala mellan 0 och 100 |
| Kontinenten | Den kontinent där den här IP-adressen finns |
| Land | Det län där den här IP-adressen finns |
| countryCf | Ett numeriskt omdöme av förtroende för att värdet i fältet "land" är korrekt på en skala mellan 0 och 100 |
| ipAddr | Den streckade decimal- eller kolonavgränsade strängrepresentationen av IP-adressen |
| ipRoutingType | En beskrivning av anslutningstypen för den här IP-adressen |
| latitude | Latitud för den här IP-adressen |
| Longitud | Den här IP-adressens longitud |
| Organisation | Namnet på organisationen för den här IP-adressen |
| organizationType | Typen av organisation för den här IP-adressen |
| Regionen | Den geografiska region där den här IP-adressen finns |
| Statligt | Det tillstånd där den här IP-adressen finns |
| stateCf | En numerisk klassificering av förtroende för att värdet i fältet "tillstånd" är korrekt på en skala mellan 0 och 100 |
| stateCode | Det förkortade namnet för tillståndet där den här IP-adressen finns |
Begränsningsgränser för API:et
Det här API:et har en gräns på 100 anrop per användare och timme.
Exempelsvar
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Nästa steg
Mer information om Microsoft Sentinel finns i följande artiklar:
Läs mer om entiteter:
Utforska andra användningsområden för Microsoft Sentinel-API:et