你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何使用 REST API 通过地理位置数据扩充Microsoft Sentinel中的实体。
重要
此功能目前为预览版。 Azure预览版补充条款包括适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的其他法律条款。
通用 URI 参数
下面是地理位置 API 的常见 URI 参数:
| 名称 | 位置 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
| {subscriptionId} | path | 是 | GUID | Azure订阅 ID |
| {resourceGroupName} | path | 是 | 字符串 | 订阅中资源组的名称 |
| {api-version} | 查询 | 是 | 字符串 | 用于发出此请求的协议版本。 截至 2021 年 4 月 30 日,地理位置 API 版本为 2019-01-01-preview。 |
| {ipAddress} | 查询 | 是 | 字符串 | 需要其地理位置信息的 IP 地址,采用 IPv4 或 IPv6 格式。 |
使用地理位置信息扩充 IP 地址
此命令检索给定 IP 地址的地理位置数据。
请求 URI
| 方法 | 请求 URI |
|---|---|
| GET | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
响应
| 状态代码 | 说明 |
|---|---|
| 200 | 成功 |
| 400 | 未提供 IP 地址或格式无效 |
| 404 | 找不到此 IP 地址的地理位置数据 |
| 429 | 请求过多,请在指定的时间范围内重试 |
响应中返回的字段
| 字段名 | 说明 |
|---|---|
| ASN | 与此 IP 地址关联的自治系统编号 |
| 载体 | 此 IP 地址的运营商名称 |
| 城市 | 此 IP 地址所在的城市 |
| cityCf | “city”字段中的值正确且小数位数为 0-100 的置信度数值分级 |
| 大陆 | 此 IP 地址所在的洲 |
| 国家 | 此 IP 地址所在的国家/地区 |
| countryCf | “country”字段中的值在 0-100 的刻度上是正确的置信度数值分级 |
| ipAddr | IP 地址的点十进制或冒号分隔的字符串表示形式 |
| ipRoutingType | 此 IP 地址的连接类型说明 |
| latitude | 此 IP 地址的纬度 |
| longitude | 此 IP 地址的经度 |
| 组织 | 此 IP 地址的组织名称 |
| organizationType | 此 IP 地址的组织类型 |
| 地区 | 此 IP 地址所在的地理区域 |
| state | 此 IP 地址所在的状态 |
| stateCf | “状态”字段中的值在 0-100 的刻度上是正确的置信度数值评分 |
| stateCode | 此 IP 地址所在的状态的缩写名称 |
API 的限制
此 API 限制为每个用户每小时 100 次调用。
示例响应
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
后续步骤
若要详细了解Microsoft Sentinel,请参阅以下文章: