Microsoft Sentinel Azure Monitor Log Analytics에 부분적으로 빌드되므로 Log Analytics의 REST API를 사용하여 헌팅 쿼리를 관리할 수 있습니다. 이 문서에서는 REST API를 사용하여 헌팅 쿼리를 만들고 관리하는 방법을 보여 줍니다. 이러한 방식으로 만든 쿼리는 Microsoft Sentinel UI에 표시됩니다. 저장된 검색 API에 대한 자세한 내용은 최종 REST API 참조를 참조하세요.
API 예제
다음 예제에서는 이러한 자리 표시자를 다음 표에 규정된 대체 개체로 바꿉니다.
| 자리 표시자 | 을 로 바꾸기 |
|---|---|
| {subscriptionId} | 헌팅 쿼리를 적용할 구독의 이름입니다. |
| {resourceGroupName} | 헌팅 쿼리를 적용할 리소스 그룹의 이름입니다. |
| {savedSearchId} | 각 헌팅 쿼리에 대한 고유 ID(GUID)입니다. |
| {WorkspaceName} | 쿼리의 대상인 Log Analytics 작업 영역의 이름입니다. |
| {DisplayName} | 쿼리에 대해 선택한 표시 이름입니다. |
| {Description} | 헌팅 쿼리에 대한 설명입니다. |
| {전술} | 관련 MITRE ATT&쿼리에 적용되는 CK 전술입니다. |
| {Query} | 쿼리에 대한 쿼리 식입니다. |
예 1
이 예제에서는 지정된 Microsoft Sentinel 작업 영역에 대한 헌팅 쿼리를 만들거나 업데이트하는 방법을 보여줍니다.
요청 헤더
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
요청 본문
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
예 2
이 예제에서는 지정된 Microsoft Sentinel 작업 영역에 대한 헌팅 쿼리를 삭제하는 방법을 보여줍니다.
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
예 3
이 예제에서는 지정된 작업 영역에 대한 헌팅 쿼리를 검색하는 방법을 보여줍니다.
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
다음 단계
이 문서에서는 Log Analytics API를 사용하여 Microsoft Sentinel 헌팅 쿼리를 관리하는 방법을 알아보았습니다. Microsoft Sentinel 대한 자세한 내용은 다음 문서를 참조하세요.