Enriquecer entidades no Microsoft Sentinel com dados de geolocalização através da API REST (Pré-visualização pública)
Este artigo mostra-lhe como enriquecer entidades no Microsoft Sentinel com dados de geolocalização com a API REST.
Importante
Esta funcionalidade está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares da Pré-visualização do Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Parâmetros comuns do URI
Seguem-se os parâmetros comuns do URI para a API de geolocalização:
| Name | Em | Necessário | Tipo | Descrição |
|---|---|---|---|---|
| {subscriptionId} | caminho | sim | GUID | O ID da subscrição do Azure |
| {resourceGroupName} | caminho | sim | string | O nome do grupo de recursos na subscrição |
| {api-version} | query | sim | string | A versão do protocolo utilizado para fazer este pedido. A partir de 30 de abril de 2021, a versão da API de geolocalização é 2019-01-01-preview. |
| {ipAddress} | query | sim | string | O Endereço IP para o qual são necessárias informações de geolocalização, num formato IPv4 ou IPv6. |
Melhorar o Endereço IP com informações de geolocalização
Este comando obtém dados de geolocalização para um determinado Endereço IP.
URI do pedido
| Método | URI do pedido |
|---|---|
| GET | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Respostas
| Código de estado | Description |
|---|---|
| 200 | Com êxito |
| 400 | O endereço IP não foi fornecido ou está num formato inválido |
| 404 | Dados de geolocalização não encontrados para este endereço IP |
| 429 | Demasiados pedidos, tente novamente no período de tempo especificado |
Campos devolvidos na resposta
| Nome do campo | Descrição |
|---|---|
| ASN | O número de sistema autónomo associado a este endereço IP |
| operadora | O nome da transportadora para este endereço IP |
| city | A cidade onde este endereço IP está localizado |
| cityCf | Uma classificação numérica de confiança de que o valor no campo "cidade" está correto, numa escala de 0-100 |
| continente | O continente onde este endereço IP está localizado |
| país/região | O concelho onde este endereço IP está localizado |
| countryCf | Uma classificação numérica de confiança de que o valor no campo "país" está correto numa escala de 0-100 |
| ipAddr | A representação de cadeia pontilhada-decimal ou separada por dois pontos do endereço IP |
| ipRoutingType | Uma descrição do tipo de ligação para este endereço IP |
| latitude | A latitude deste endereço IP |
| longitude | A longitude deste endereço IP |
| organização | O nome da organização para este endereço IP |
| organizationType | O tipo de organização para este endereço IP |
| região | A região geográfica onde este endereço IP está localizado |
| estado | O estado em que este endereço IP está localizado |
| stateCf | Uma classificação numérica de confiança de que o valor no campo "estado" está correto numa escala de 0-100 |
| stateCode | O nome abreviado para o estado em que este endereço IP está localizado |
Limites de limitação da API
Esta API tem um limite de 100 chamadas, por utilizador, por hora.
Resposta de amostra
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Passos seguintes
Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
Saiba mais sobre as entidades:
Explorar outras utilizações da API do Microsoft Sentinel