Enriqueça entidades no Microsoft Sentinel com dados de geolocalização via API REST (visualização pública)
Este artigo mostra como enriquecer entidades no Microsoft Sentinel com dados de geolocalização usando a API REST.
Importante
Este recurso está atualmente em visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Parâmetros comuns de URI
A seguir estão os parâmetros de URI comuns para a API de geolocalização:
| Nome | Em | Necessário | Type | Description |
|---|---|---|---|---|
| {subscriptionId} | path | sim | GUID | A ID de assinatura do Azure |
| {resourceGroupName} | path | sim | string | O nome do grupo de recursos dentro da assinatura |
| {api-versão} | query | sim | string | A versão do protocolo usada para fazer essa solicitação. A partir de 30 de abril de 2021, a versão da API de geolocalização é 2019-01-01-preview. |
| {ipAddress} | query | sim | string | O endereço IP para o qual são necessárias informações de geolocalização, em formato IPv4 ou IPv6. |
Enriqueça o endereço IP com informações de geolocalização
Este comando recupera dados de geolocalização para um determinado endereço IP.
URI do pedido
| Método | URI do pedido |
|---|---|
| GET | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Respostas
| Código de estado | Description |
|---|---|
| 200 | Com êxito |
| 400 | Endereço IP não fornecido ou está em formato inválido |
| 404 | Dados de geolocalização não encontrados para este endereço IP |
| 429 | Muitas solicitações, tente novamente no período de tempo especificado |
Campos retornados na resposta
| Nome do campo | Description |
|---|---|
| ASN | O número do sistema autónomo associado a este endereço IP |
| transportadora | O nome da operadora para este endereço IP |
| cidade | A cidade onde este endereço IP está localizado |
| cidadeCf | Uma classificação numérica de confiança de que o valor no campo 'cidade' está correto, numa escala de 0-100 |
| continente | O continente onde este endereço IP está localizado |
| país | O país/região onde este endereço IP está localizado |
| paísCf | Uma classificação numérica de confiança de que o valor no campo 'país' está correto numa escala de 0-100 |
| ipAddr | A representação de cadeia de caracteres decimal pontilhada ou separada por dois pontos do endereço IP |
| ipRoutingType | Uma descrição do tipo de conexão para este endereço IP |
| latitude | A latitude deste endereço IP |
| longitude | A longitude deste endereço IP |
| organização | O nome da organização para este endereço IP |
| tipo de organização | O tipo de organização para este endereço IP |
| região | A região geográfica onde este endereço IP está localizado |
| state | O estado onde este endereço IP está localizado |
| estadoCf | Uma classificação numérica de confiança de que o valor no campo 'estado' está correto em uma escala de 0-100 |
| stateCode | O nome abreviado para o estado onde este endereço IP está localizado |
Limites de limitação para a API
Esta API tem um limite de 100 chamadas, por utilizador, por hora.
Resposta da amostra
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Próximos passos
Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
Saiba mais sobre entidades:
Explore outros usos da API do Microsoft Sentinel