この記事では、REST API を使用して、位置情報データを使用してMicrosoft Sentinel内のエンティティをエンリッチする方法について説明します。
重要
この機能は現在プレビュー段階です。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件が含まれています。
一般的な URI パラメーター
位置情報 API の一般的な URI パラメーターを次に示します。
| 名前 | In | 必須 | 型 | 説明 |
|---|---|---|---|---|
| {subscriptionId} | path | はい | GUID | Azure サブスクリプション ID |
| {resourceGroupName} | path | ○ | 文字列 | サブスクリプション内のリソース グループの名前 |
| {api-version} | query | ○ | 文字列 | この要求を行うために使用されるプロトコルのバージョン。 2021 年 4 月 30 日の時点で、位置情報 API バージョンは 2019-01-01-preview です。 |
| {ipAddress} | query | ○ | 文字列 | 位置情報が必要な IP アドレス (IPv4 または IPv6 形式)。 |
位置情報を使用して IP アドレスをエンリッチする
このコマンドは、特定の IP アドレスの位置情報データを取得します。
要求 URI
| メソッド | 要求 URI |
|---|---|
| GET | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
応答
| 状態コード | 説明 |
|---|---|
| 200 | 成功 |
| 400 | IP アドレスが指定されていないか、無効な形式である |
| 404 | この IP アドレスの位置情報データが見つかりません |
| 429 | 要求が多すぎる場合は、指定した期間内にもう一度やり直してください |
応答で返されるフィールド
| フィールド名 | 説明 |
|---|---|
| Asn | この IP アドレスに関連付けられている自律システム番号 |
| キャリア | この IP アドレスの通信事業者の名前 |
| 都市 | この IP アドレスが配置されている都市 |
| cityCf | 0 から 100 のスケールで、"city" フィールドの値が正しいことを示す信頼度の数値レーティング |
| 大陸 | この IP アドレスが配置されている大陸 |
| country | この IP アドレスが配置されている国/地域 |
| countryCf | "国" フィールドの値が 0 から 100 のスケールで正しいことを示す信頼度の数値レーティング |
| ipAddr | IP アドレスのドット区切り 10 進数またはコロン区切りの文字列表現 |
| ipRoutingType | この IP アドレスの接続の種類の説明 |
| latitude | この IP アドレスの緯度 |
| longitude | この IP アドレスの経度 |
| organization | この IP アドレスのorganizationの名前 |
| organizationType | この IP アドレスのorganizationの種類 |
| 地域 | この IP アドレスが配置されている地理的リージョン |
| state | この IP アドレスが配置されている状態 |
| stateCf | "state" フィールドの値が 0 から 100 のスケールで正しいことを示す信頼度の数値レーティング |
| stateCode | この IP アドレスが配置されている状態の省略名 |
API の調整制限
この API の呼び出し数は、ユーザーごとに 1 時間あたり 100 回までです。
応答のサンプル
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
次の手順
Microsoft Sentinelの詳細については、次の記事を参照してください。
エンティティの詳細については、以下を参照してください。
Microsoft Sentinel API のその他の使用方法を調べる