Anreichern von Entitäten in Microsoft Sentinel mit Geolocationdaten über die REST-API (öffentliche Vorschau)

In diesem Artikel erfahren Sie, wie Sie Entitäten in Microsoft Sentinel mithilfe der REST-API mit Geolocationdaten anreichern.

Wichtig

Dieses Feature befindet sich derzeit in der VORSCHAU. Die zusätzlichen Azure-Vorschaubedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.

Allgemeine URI-Parameter

Im Folgenden finden Sie die allgemeinen URI-Parameter für die Geolocation-API:

Name In Erforderlich Typ Beschreibung
{subscriptionId} Pfad ja GUID Die Azure-Abonnement-ID
{resourceGroupName} Pfad ja Zeichenfolge Der Name der Ressourcengruppe innerhalb des Abonnements.
{api-version} Abfrage ja Zeichenfolge Die Version des Protokolls, das für diese Anforderung verwendet wird. Ab dem 30. April 2021 lautet die Version der Geolocation-API 2019-01-01-preview.
{ipAddress} Abfrage ja Zeichenfolge Die IP-Adresse, für die Geolocationinformationen im IPv4- oder IPv6-Format benötigt werden.

Anreichern der IP-Adresse mit Geolocationinformationen

Dieser Befehl ruft Geolocationdaten für eine bestimmte IP-Adresse ab.

Anforderungs-URI

Methode Anforderungs-URI
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version}

Antworten

Statuscode Beschreibung
200 Erfolgreich
400 DIE IP-Adresse wurde nicht angegeben oder weist ein ungültiges Format auf.
404 Geolocationdaten für diese IP-Adresse nicht gefunden
429 Zu viele Anforderungen, versuchen Sie es im angegebenen Zeitrahmen erneut.

In der Antwort zurückgegebene Felder

Feldname Beschreibung
ASN Die dieser IP-Adresse zugeordnete autonome Systemnummer
Träger Der Name des Netzbetreibers für diese IP-Adresse
Stadt Die Stadt, in der sich diese IP-Adresse befindet
cityCf Eine numerische Bewertung der Zuverlässigkeit, dass der Wert im Feld "Stadt" richtig ist, auf einer Skala von 0 bis 100
Kontinent Der Kontinent, auf dem sich diese IP-Adresse befindet
Land Das Land/die Region, in dem sich diese IP-Adresse befindet
countryCf Eine numerische Bewertung der Zuverlässigkeit, dass der Wert im Feld "Land" auf einer Skala von 0 bis 100 richtig ist
ipAddr Die gepunktete dezimale oder durch Doppelpunkte getrennte Zeichenfolgendarstellung der IP-Adresse
ipRoutingType Eine Beschreibung des Verbindungstyps für diese IP-Adresse
latitude Der Breitengrad dieser IP-Adresse
longitude Der Längengrad dieser IP-Adresse
organization Der Name des organization für diese IP-Adresse
organizationType Der Typ des organization für diese IP-Adresse
Region Die geografische Region, in der sich diese IP-Adresse befindet
state Der Zustand, in dem sich diese IP-Adresse befindet
stateCf Eine numerische Bewertung der Zuverlässigkeit, dass der Wert im Feld "Zustand" auf einer Skala von 0 bis 100 richtig ist
stateCode Der abgekürzte Name für den Zustand, in dem sich diese IP-Adresse befindet.

Drosselungsgrenzwerte für die API

Für diese API gilt ein Grenzwert von 100 Aufrufen pro Benutzer und Stunde.

Beispielantwort

"body":
{
    "asn": "12345",
    "carrier": "Microsoft",
    "city": "Redmond",
    "cityCf": 90,
    "continent": "north america",
    "country": "united states",
    "countryCf": 99
    "ipAddr": "1.2.3.4",
    "ipRoutingType": "fixed",
    "latitude": "40.2436",
    "longitude": "-100.8891",
    "organization": "Microsoft",
    "organizationType": "tech",
    "region": "western usa",
    "state": "washington",
    "stateCf": null
    "stateCode": "wa"
}

Nächste Schritte

Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

  • Last updated on