Gerir consultas de procura e transmissão em direto no Microsoft Sentinel com a API REST

O Microsoft Sentinel, que está sendo criado em parte no Azure Monitor Log Analytics, permite que você use a API REST do Log Analytics para gerenciar consultas de caça e transmissão ao vivo. Este documento mostra como criar e gerenciar consultas de busca usando a API REST. As consultas criadas dessa forma serão exibidas na interface do usuário do Microsoft Sentinel.

Consulte a referência definitiva da API REST para obter mais detalhes sobre a API de pesquisas salvas.

Exemplos de API

Nos exemplos a seguir, substitua esses espaços reservados pela substituição prescrita na tabela a seguir:

Marcador de Posição	Replace with
{subscriptionId}	O nome da assinatura à qual você está aplicando a consulta de caça ou transmissão ao vivo.
{resourceGroupName}	O nome do grupo de recursos ao qual você está aplicando a consulta de caça ou transmissão ao vivo.
{savedSearchId}	um id exclusivo (GUID) para cada consulta de caça.
{WorkspaceName}	o nome do espaço de trabalho do Log Analytics que é o destino da consulta.
{DisplayName}	Um nome de exibição de sua escolha para a consulta.
{Descrição}	Uma descrição da consulta de caça ou transmissão ao vivo.
{Táticas}	as táticas MITRE ATT&CK relevantes que se aplicam à consulta.
{Consulta}	A expressão de consulta para sua consulta.

Exemplo 1

Este exemplo mostra como criar ou atualizar uma consulta de caça para um determinado espaço de trabalho do Microsoft Sentinel. Para uma consulta de transmissão ao vivo, substitua "Categoria": "Procurando consultas" por "Categoria": "Consultas de transmissão ao vivo" no corpo da solicitação:

Cabeçalho do pedido

PUT https://management.azure.com/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Corpo do pedido

{
"properties": {
    “Category”: “Hunting Queries”,
    "DisplayName": "HuntingRule02",
    "Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
    “Tags”: [
        { 
        “Name”: “Description”,
        “Value”: “Test Hunting Query”
        },
        { 
        “Name”: “Tactics”,
        “Value”: “Execution, Discovery”
        }
        ]        
    }
}

Exemplo 2

Este exemplo mostra como excluir uma consulta de caça ou transmissão ao vivo para um determinado espaço de trabalho do Microsoft Sentinel:

DELETE https://management.azure.com/subscriptions/{subscriptionId} _
       /resourcegroups/{resourceGroupName} _
       /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
       /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Exemplo 3

Este exemplo mostra como recuperar uma consulta de caça ou transmissão ao vivo para um determinado espaço de trabalho:

GET https://management.azure.com/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Próximos passos

Neste artigo, você aprendeu como gerenciar consultas de caça e transmissão ao vivo no Microsoft Sentinel usando a API do Log Analytics. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Busca proativa de ameaças
• Usar blocos de anotações para executar campanhas de caça automatizadas