Berika entiteter i Microsoft Sentinel med geoplatsdata via REST API (offentlig förhandsversion)
Den här artikeln visar hur du berikar entiteter i Microsoft Sentinel med geoplatsdata med hjälp av REST-API:et.
Viktigt
Den här funktionen är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Vanliga URI-parametrar
Följande är de vanliga URI-parametrarna för geoplats-API:et:
Name | I | Krävs | Typ | Beskrivning |
---|---|---|---|---|
{subscriptionId} | path | ja | GUID | Azure-prenumerations-ID:t |
{resourceGroupName} | path | ja | sträng | Namnet på resursgruppen i prenumerationen |
{api-version} | query | ja | sträng | Den version av protokollet som används för att göra den här begäran. Från och med den 30 april 2021 är geoplats-API-versionen 2019-01-01-preview. |
{ipAddress} | query | ja | sträng | DEN IP-adress för vilken geoplatsinformation krävs, i IPv4- eller IPv6-format. |
Utöka IP-adress med geoplatsinformation
Det här kommandot hämtar geoplatsdata för en viss IP-adress.
URI för förfrågan
Metod | URI för förfrågan |
---|---|
FÅ | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Svar
Statuskod | Description |
---|---|
200 | Klart |
400 | IP-adressen har inte angetts eller är i ogiltigt format |
404 | Geoplatsdata hittades inte för den här IP-adressen |
429 | För många begäranden, försök igen inom den angivna tidsramen |
Fält som returneras i svaret
Fältnamn | Beskrivning |
---|---|
ASN | Det autonoma systemnummer som är associerat med den här IP-adressen |
Bärare | Namnet på transportföretaget för den här IP-adressen |
city | Orten där den här IP-adressen finns |
cityCf | Ett numeriskt omdöme av förtroende för att värdet i fältet "stad" är korrekt, på en skala mellan 0 och 100 |
Kontinenten | Den kontinent där den här IP-adressen finns |
Land | Det län där den här IP-adressen finns |
countryCf | Ett numeriskt omdöme av förtroende för att värdet i fältet "land" är korrekt på en skala mellan 0 och 100 |
ipAddr | Den streckade decimal- eller kolonavgränsade strängrepresentationen av IP-adressen |
ipRoutingType | En beskrivning av anslutningstypen för den här IP-adressen |
latitude | Latitud för den här IP-adressen |
Longitud | Den här IP-adressens longitud |
Organisation | Namnet på organisationen för den här IP-adressen |
organizationType | Typen av organisation för den här IP-adressen |
Regionen | Den geografiska region där den här IP-adressen finns |
Statligt | Det tillstånd där den här IP-adressen finns |
stateCf | En numerisk klassificering av förtroende för att värdet i fältet "tillstånd" är korrekt på en skala mellan 0 och 100 |
stateCode | Det förkortade namnet för tillståndet där den här IP-adressen finns |
Begränsningsgränser för API:et
Det här API:et har en gräns på 100 anrop per användare och timme.
Exempelsvar
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Nästa steg
Mer information om Microsoft Sentinel finns i följande artiklar:
Läs mer om entiteter:
Utforska andra användningsområden för Microsoft Sentinel-API:et