Arricchire le entità in Microsoft Sentinel con dati di georilevazione tramite l'API REST (anteprima pubblica)
Questo articolo illustra come arricchire le entità in Microsoft Sentinel con i dati di georilevazione usando l'API REST.
Importante
La funzionalità è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Parametri URI comuni
Di seguito sono riportati i parametri URI comuni per l'API di georilevazione:
| Nome | Tra | Richiesto | Type | Descrizione |
|---|---|---|---|---|
| {subscriptionId} | path | yes | GUID | ID sottoscrizione di Azure |
| {resourceGroupName} | path | yes | string | Nome del gruppo di risorse all'interno della sottoscrizione |
| {api-version} | query | yes | string | Versione del protocollo utilizzata per effettuare questa richiesta. A partire dal 30 aprile 2021, la versione dell'API di georilevazione è 2019-01-01-preview. |
| {ipAddress} | query | yes | string | Indirizzo IP per cui sono necessarie le informazioni di georilevazione, in un formato IPv4 o IPv6. |
Arricchire l'indirizzo IP con informazioni di georilevazione
Questo comando recupera i dati di georilevazione per un determinato indirizzo IP.
URI delle richiesta
| metodo | URI della richiesta |
|---|---|
| GET | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Risposte
| Codice di stato | Descrizione |
|---|---|
| 200 | Riuscita |
| 400 | Indirizzo IP non specificato o in formato non valido |
| 404 | Dati di georilevazione non trovati per questo indirizzo IP |
| 429 | Troppe richieste, riprovare nell'intervallo di tempo specificato |
Campi restituiti nella risposta
| Nome del campo | Descrizione |
|---|---|
| ASN | Numero di sistema autonomo associato a questo indirizzo IP |
| trasportatore | Nome del gestore telefonico per questo indirizzo IP |
| città | Città in cui si trova questo indirizzo IP |
| cityCf | Classificazione numerica di confidenza che il valore nel campo "città" sia corretto, su una scala di 0-100 |
| continente | Il continente in cui si trova questo indirizzo IP |
| country | Paese/area geografica in cui si trova questo indirizzo IP |
| countryCf | Classificazione numerica di confidenza che il valore nel campo "paese" sia corretto su una scala di 0-100 |
| ipAddr | Rappresentazione di stringa tratteggiata decimale o delimitata da due punti dell'indirizzo IP |
| ipRoutingType | Descrizione del tipo di connessione per questo indirizzo IP |
| latitude | Latitudine di questo indirizzo IP |
| longitude | Longitudine di questo indirizzo IP |
| organization | Nome dell'organizzazione per questo indirizzo IP |
| organizationType | Tipo di organizzazione per questo indirizzo IP |
| region | Area geografica in cui si trova questo indirizzo IP |
| state | Stato in cui si trova questo indirizzo IP |
| stateCf | Classificazione numerica di confidenza che il valore nel campo 'state' sia corretto su una scala di 0-100 |
| stateCode | Nome abbreviato per lo stato in cui si trova questo indirizzo IP |
Limiti di limitazione per l'API
Questa API ha un limite di 100 chiamate, per utente, all'ora.
Risposta di esempio
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Passaggi successivi
Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
Altre informazioni sulle entità:
Esplorare altri usi dell'API di Microsoft Sentinel