Entiteiten in Microsoft Sentinel verrijken met geolocatiegegevens via REST API (openbare preview)
In dit artikel leest u hoe u entiteiten in Microsoft Sentinel kunt verrijken met geolocatiegegevens met behulp van de REST API.
Belangrijk
Deze functie is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Algemene URI-parameters
Hier volgen de algemene URI-parameters voor de geolocatie-API:
| Naam | In | Vereist | Type | Description |
|---|---|---|---|---|
| {subscriptionId} | path | ja | GUID | De Azure-abonnements-id |
| {resourceGroupName} | path | ja | tekenreeks | De naam van de resourcegroep binnen het abonnement |
| {api-version} | query | ja | tekenreeks | De versie van het protocol dat wordt gebruikt om deze aanvraag te doen. Vanaf 30 april 2021 is de geolocatie-API-versie 2019-01-01-preview. |
| {ipAddress} | query | ja | tekenreeks | Het IP-adres waarvoor geolocatie-informatie nodig is, in een IPv4- of IPv6-indeling. |
IP-adres verrijken met geolocatie-informatie
Met deze opdracht worden geolocatiegegevens opgehaald voor een bepaald IP-adres.
Aanvraag-URI
| Wijze | Aanvraag-URI |
|---|---|
| GET | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Antwoorden
| Statuscode | Beschrijving |
|---|---|
| 200 | Voltooid |
| 400 | IP-adres is niet opgegeven of heeft een ongeldige indeling |
| 404 | Geolocatiegegevens niet gevonden voor dit IP-adres |
| 429 | Te veel aanvragen, probeer het opnieuw in de opgegeven periode |
Velden die worden geretourneerd in het antwoord
| Veldnaam | Beschrijving |
|---|---|
| ASN | Het autonome systeemnummer dat aan dit IP-adres is gekoppeld |
| vervoerder | De naam van de provider voor dit IP-adres |
| stad | De plaats waar dit IP-adres zich bevindt |
| cityCf | Een numerieke betrouwbaarheidsclassificatie dat de waarde in het veld Plaats juist is, op een schaal van 0-100 |
| werelddeel | Het continent waar dit IP-adres zich bevindt |
| land | Het land/de regio waar dit IP-adres zich bevindt |
| countryCf | Een numerieke betrouwbaarheidsclassificatie dat de waarde in het veld Land juist is op een schaal van 0-100 |
| ipAddr | De tekenreeks met stippeltekenreeks of door dubbele punten gescheiden tekenreeksen van het IP-adres |
| ipRoutingType | Een beschrijving van het verbindingstype voor dit IP-adres |
| breedtegraad | De breedtegraad van dit IP-adres |
| lengtegraad | De lengtegraad van dit IP-adres |
| organization | De naam van de organisatie voor dit IP-adres |
| organizationType | Het type organisatie voor dit IP-adres |
| regio | De geografische regio waar dit IP-adres zich bevindt |
| state | De status waar dit IP-adres zich bevindt |
| stateCf | Een numerieke betrouwbaarheidsclassificatie dat de waarde in het veld Status juist is op een schaal van 0-100 |
| stateCode | De verkorte naam voor de status waar dit IP-adres zich bevindt |
Beperkingslimieten voor de API
Deze API heeft een limiet van 100 aanroepen per gebruiker per uur.
Voorbeeldrespons
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Volgende stappen
Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
Meer informatie over entiteiten:
Andere toepassingen van de Microsoft Sentinel-API verkennen