本文將教你如何利用 REST API 在 Microsoft Sentinel 中豐富實體的地理位置資料。
重要事項
此功能目前處於預覽階段。 Azure 預覽補充條款包含適用於 Azure 測試版、預覽版或其他尚未正式發布的功能的額外法律條款。
常見的 URI 參數
以下是地理定位 API 常見的 URI 參數:
| 名稱 | 於 | 必要項目 | 類型 | 描述 |
|---|---|---|---|---|
| {subscriptionId} | 路徑 | 是 | GUID | The Azure subscription ID |
| {resourceGroupName} | 路徑 | 是 | string | 訂閱中資源群組的名稱 |
| {API-version} | 查詢 | 是 | string | 用來提出此請求的協議版本。 截至 2021 年 4 月 30 日,地理定位 API 版本為 2019-01-01-preview。 |
| {ipAddress} | 查詢 | 是 | string | 需要地理定位資訊的 IP 位址,格式為 IPv4 或 IPv6。 |
豐富 IP 位址以地理定位資訊
此指令可取得特定 IP 位址的地理位置資料。
請求 URI
| 方法 | 請求 URI |
|---|---|
| 去 | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
回應
| 狀態碼 | 描述 |
|---|---|
| 200 | 成功 |
| 400 | 未提供 IP 位址或格式無效 |
| 404 | 此IP位址找不到地理定位資料 |
| 429 | 請求太多,請在指定時間內再試一次 |
菲爾茲在回應中回歸
| 欄位名稱 | 描述 |
|---|---|
| ASN | 與此 IP 位址相關的自治系統號碼 |
| 載波 | 此IP地址的電信業者名稱 |
| 城市 | 這個IP地址所在的城市 |
| cityCf | 以0到100的數值信心評分,證明「城市」欄位的數值正確 |
| 大陸 | 這個IP位址所在的大陸 |
| 鄉村 | 該 IP 位址所在的國家/地區 |
| countryCf | 在0到100的刻度上,對於「國家」欄位的數值正確進行數值信心評分 |
| ipAddr | IP 位址的虛點十進位或冒號分隔字串表示法 |
| ipRoutingType | 此IP位址連線類型的描述 |
| 緯度 | 這個IP位址的緯度 |
| 經度 | 這個IP位址的經度 |
| 組織架構 | 此IP位址的組織名稱 |
| 組織類型 | 此IP位址的組織類型 |
| 地區 | 該 IP 位址所在的地理區域 |
| state | 這個 IP 位址所在的州 |
| 州Cf | 在0到100的刻度上,對於「狀態」欄位的數值正確性進行數值的信心評分 |
| stateCode | 此 IP 位址所在州的縮寫名稱 |
API 的限速限制
此 API 每小時每位使用者最多可呼叫 100 次。
範例回應
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
後續步驟
想了解更多關於 Microsoft Sentinel 的資訊,請參閱以下文章: