Обогащение сущностей в Microsoft Sentinel данными геолокации через REST API (общедоступная предварительная версия)
В этой статье описано, как обогатить сущности в Microsoft Sentinel с помощью данных геолокации, используя REST API.
Внимание
Эта функция сейчас доступна в режиме предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Общие параметры URI
Ниже приведены общие параметры URI для API геолокации.
| Имя. | In | Обязательное поле | Type | Описание |
|---|---|---|---|---|
| {subscriptionId} | path | yes | GUID | Идентификатор подписки Azure. |
| {resourceGroupName} | path | yes | строка | Имя группы ресурсов в подписке. |
| {api-version} | query | yes | строка | Версия протокола для выполнения данного запроса. С 30 апреля 2021 года версией API геолокации является 2019-01-01-preview. |
| {ipAddress} | query | yes | строка | IP-адрес, для которого необходимо использовать сведения геолокации, в формате IPv4 или IPv6. |
Обогащение IP-адреса с помощью сведений геолокации
Эта команда позволяет извлекать данные геолокации для заданного IP-адреса.
URI запроса
| Способ | URI запроса |
|---|---|
| GET | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Отклики
| Код состояния | Description |
|---|---|
| 200 | Удачное завершение |
| 400 | IP-адрес не указан или имеет недопустимый формат. |
| 404 | Данные геолокации для этого IP-адреса не найдены. |
| 429 | Слишком много запросов. Повторите попытку в указанный период времени. |
Поля, возвращаемые в ответе
| Имя поля | Description |
|---|---|
| ASN | Номер автономной системы, связанный с этим IP-адресом. |
| carrier | Имя перевозчика для этого IP-адреса. |
| city | Город, в котором расположен этот IP-адрес. |
| cityCf | Числовая оценка доверительного уровня относительно того, что значение в поле city указано правильно (в диапазоне 0–100). |
| continent | Континент, в котором находится этот IP-адрес. |
| country | Страна или регион, где находится этот IP-адрес |
| countryCf | Числовая оценка доверительного уровня относительно того, что значение в поле country указано правильно (в диапазоне 0–100). |
| ipAddr | Строковое представление IP-адреса с точками или двоеточиями. |
| ipRoutingType | Описание типа соединения для этого IP-адреса. |
| latitude | Широта этого IP-адреса. |
| longitude | Долгота этого IP-адреса. |
| organization | Имя организации для этого IP-адреса. |
| organizationType | Тип организации для этого IP-адреса. |
| region | Географический регион, в котором находится этот IP-адрес. |
| state | Область, в которой расположен этот IP-адрес. |
| stateCf | Числовая оценка доверительного уровня относительно того, что значение в поле state указано правильно (в диапазоне 0–100). |
| stateCode | Сокращенное название области, в которой находится этот IP-адрес. |
Ограничения регулирования для API
Для этого API используется ограничение в 100 вызовов на пользователя в час.
Пример ответа
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Следующие шаги
Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
Узнайте больше о сущностях.
Изучите другие сценарии использования API Microsoft Sentinel