Berika entiteter i Microsoft Sentinel med geoplatsdata via REST API (offentlig förhandsversion)
Den här artikeln visar hur du berikar entiteter i Microsoft Sentinel med geoplatsdata med hjälp av REST-API:et.
Viktigt!
Den här funktionen är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Vanliga URI-parametrar
Följande är de vanliga URI-parametrarna för geoplats-API:et:
| Name | I | Obligatoriskt | Type | Beskrivning |
|---|---|---|---|---|
| {subscriptionId} | path | ja | GUID | Azure-prenumerations-ID |
| {resourceGroupName} | path | ja | sträng | Namnet på resursgruppen i prenumerationen |
| {api-version} | query | ja | sträng | Den version av protokollet som används för att göra den här begäran. Från och med den 30 april 2021 är geoplats-API-versionen 2019-01-01-preview. |
| {ipAddress} | query | ja | sträng | IP-adressen för vilken geoplatsinformation behövs, i ett IPv4- eller IPv6-format. |
Utöka IP-adress med geoplatsinformation
Det här kommandot hämtar geoplatsdata för en viss IP-adress.
URI för förfrågan
| Metod | URI för förfrågan |
|---|---|
| GET | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Svar
| Statuskod | beskrivning |
|---|---|
| 200 | Framgång |
| 400 | IP-adressen har inte angetts eller är i ogiltigt format |
| 404 | Geoplatsdata hittades inte för den här IP-adressen |
| 429 | För många begäranden, försök igen inom den angivna tidsramen |
Fält som returneras i svaret
| Fältnamn | beskrivning |
|---|---|
| ASN | Det autonoma systemnummer som är associerat med den här IP-adressen |
| transportör | Namnet på transportföretaget för den här IP-adressen |
| stad | Den ort där ip-adressen finns |
| cityCf | Ett numeriskt omdöme av förtroende för att värdet i fältet "stad" är korrekt, på en skala från 0–100 |
| kontinent | Den kontinent där den här IP-adressen finns |
| land | Det land/den region där ip-adressen finns |
| countryCf | Ett numeriskt omdöme av förtroende för att värdet i fältet "land" är korrekt på en skala från 0–100 |
| ipAddr | Den streckade decimal- eller kolonavgränsade strängrepresentationen av IP-adressen |
| ipRoutingType | En beskrivning av anslutningstypen för den här IP-adressen |
| breddgrad | Latitud för den här IP-adressen |
| longitud | Den här IP-adressens longitud |
| organization | Namnet på organisationen för den här IP-adressen |
| organizationType | Typen av organisation för den här IP-adressen |
| region | Den geografiska region där ip-adressen finns |
| state | Det tillstånd där den här IP-adressen finns |
| stateCf | Ett numeriskt omdöme av förtroende för att värdet i fältet "tillstånd" är korrekt på en skala mellan 0 och 100 |
| stateCode | Det förkortade namnet för tillståndet där ip-adressen finns |
Begränsningsgränser för API:et
Det här API:et har en gräns på 100 anrop per användare och timme.
Exempelsvar
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Nästa steg
Mer information om Microsoft Sentinel finns i följande artiklar: