Partager via


Enrichir des entités dans Microsoft Sentinel avec des données de géolocalisation via une API REST (préversion publique)

Cet article explique comment enrichir des entités dans Microsoft Sentinel avec des données de géolocalisation à l’aide d’une API REST.

Important

Cette fonctionnalité est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Paramètres URI communs

Voici les paramètres d’URI communs pour l’API de géolocalisation :

Nom Dans Obligatoire Type Description
{subscriptionId} path yes GUID ID d’abonnement Azure
{resourceGroupName} path yes string Nom du groupe de ressources dans l’abonnement
{api-version} query yes string Version du protocole utilisé pour faire cette demande. Depuis le 30 2021 avril, la version de l’API de géolocalisation est 2019-01-01-preview.
{ipAddress} query yes string Adresse IP pour laquelle les informations de géolocalisation sont nécessaires, au format IPv4 ou IPv6.

Enrichir une adresse IP avec des informations de géolocalisation

Cette commande extrait les données de géolocalisation pour une adresse IP donnée.

URI de demande

Méthode URI de demande
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version}

Réponses

Code d’état Description
200 Succès
400 Adresse IP non fournie ou de format non valide
404 Données de géolocalisation introuvables pour cette adresse IP
429 Trop de demandes, réessayer dans le délai spécifié

Champs retournés dans la réponse

Nom du champ Description
ASN Numéro de système autonome associé à cette adresse IP
carrier Nom de l’opérateur pour cette adresse IP
city Ville dans laquelle se trouve cette adresse IP
cityCf Évaluation de confiance numérique dans le fait que la valeur figurant dans le champ « city » est correcte, sur une échelle de 0 à 100
continent Continent dans lequel se trouve cette adresse IP
country Pays/région où se trouve cette adresse IP
countryCf Évaluation de confiance numérique dans le fait que la valeur figurant dans le champ « country » est correcte, sur une échelle de 0 à 100
IpAddr Représentation de chaîne avec point décimal ou deux-points de séparation de l’adresse IP
ipRoutingType Description du type de connexion pour cette adresse IP
latitude Latitude correspondant à cette adresse IP
longitude Latitude correspondant à cette adresse IP
organization Nom de l’organisation correspondant à cette adresse IP
organizationType Type de l’organisation correspondant à cette adresse IP
region Région géographique où se trouve cette adresse IP
state État dans lequel se trouve cette adresse IP
stateCf Évaluation de confiance numérique dans le fait que la valeur figurant dans le champ « state » est correcte, sur une échelle de 0 à 100
stateCode Nom abrégé de l’État dans lequel dans lequel se trouve cette adresse IP

Seuils de limitation pour l’API

Cette API a une limite de 100 appels, par utilisateur, par heure.

Exemple de réponse

"body":
{
    "asn": "12345",
    "carrier": "Microsoft",
    "city": "Redmond",
    "cityCf": 90,
    "continent": "north america",
    "country": "united states",
    "countryCf": 99
    "ipAddr": "1.2.3.4",
    "ipRoutingType": "fixed",
    "latitude": "40.2436",
    "longitude": "-100.8891",
    "organization": "Microsoft",
    "organizationType": "tech",
    "region": "western usa",
    "state": "washington",
    "stateCf": null
    "stateCode": "wa"
}

Étapes suivantes

Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :