Verwalten von Hunting- und Livestream-Abfragen in Microsoft Sentinel mithilfe der REST-API

Mit Microsoft Sentinel, das teilweise auf Azure Monitor Log Analytics basiert, können Sie die REST-API von Log Analytics nutzen, um Hunting- und Livestream-Abfragen zu verwalten. Dieses Dokument zeigt, wie Sie Huntingabfragen über die REST-API erstellen und verwalten. Auf diese Weise erstellte Abfragen werden auf der Microsoft Sentinel-Benutzeroberfläche angezeigt.

Weitere Informationen zur API für gespeicherte Suchvorgänge finden Sie in der endgültigen REST-API-Referenz.

API-Beispiele

Ersetzen Sie in den folgenden Beispielen die jeweiligen Platzhalter durch die in der nachstehenden Tabelle angegebenen Werte:

Platzhalter	Ersetzen durch
{subscriptionId}	Name des Abonnements, auf die Sie die Hunting- oder Livestreamabfrage anwenden
{resourceGroupName}	Name der Ressourcengruppe, auf die Sie die Hunting- oder Livestreamabfrage anwenden
{savedSearchId}	Eindeutiger Bezeichner (GUID) für jede Huntingabfrage
{WorkspaceName}	Name des Log Analytics-Arbeitsbereichs, der Ziel der Abfrage ist
{DisplayName}	Anzeigename Ihrer Wahl für die Abfrage
{Description}	Beschreibung der Hunting- oder Livestreamabfrage
{Tactics}	Relevante MITRE ATT&CK-Taktiken, die für die Abfrage gelten
{Query}	Abfrageausdruck für Ihre Abfrage

Beispiel 1

In diesem Beispiel wird gezeigt, wie Sie eine Hunting-Abfrage für einen bestimmten Microsoft Sentinel-Arbeitsbereich erstellen oder aktualisieren. Bei einer Livestreamabfrage ersetzen Sie “Category”: “Hunting Queries” durch “Category”: “Livestream Queries” im Anforderungstext:

Anforderungsheader

PUT https://management.azure.com/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Anforderungstext

{
"properties": {
    “Category”: “Hunting Queries”,
    "DisplayName": "HuntingRule02",
    "Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
    “Tags”: [
        { 
        “Name”: “Description”,
        “Value”: “Test Hunting Query”
        },
        { 
        “Name”: “Tactics”,
        “Value”: “Execution, Discovery”
        }
        ]        
    }
}

Beispiel 2

In diesem Beispiel wird gezeigt, wie Sie eine Hunting- oder Livestream-Abfrage für einen bestimmten Microsoft Sentinel-Arbeitsbereich löschen:

DELETE https://management.azure.com/subscriptions/{subscriptionId} _
       /resourcegroups/{resourceGroupName} _
       /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
       /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Beispiel 3

Dieses Beispiel zeigt, wie Sie eine Hunting- oder Livestreamabfrage für einen bestimmten Arbeitsbereich abrufen:

GET https://management.azure.com/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Hunting- und Livestream-Abfragen in Microsoft Sentinel mithilfe der Log Analytics-API verwalten. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

• Proactively hunt for threats (Proaktive Ermittlung von Bedrohungen)
• Verwenden von Notebooks zur Ermittlung von Anomalien