Управление запросами на охоту и потоковую передачу в реальном времени в Microsoft Sentinel с помощью REST API
Решение Microsoft Sentinel, частично основанное на Azure Monitor Log Analytics, дает возможность использовать REST API службы Log Analytics для управления запросами для охоты и потоковой передачи. В этом документе показано, как создавать запросы для охоты и управлять ими с помощью REST API. Запросы, созданные таким образом, будут отображаться в пользовательском интерфейсе Microsoft Sentinel.
Дополнительные сведения об API сохраненных поисков можно найти в подробной документации по REST API.
Примеры с API
В следующих примерах замените эти заполнители реальными значениями, которые описаны в следующей таблице.
| Заполнитель | Replace with |
|---|---|
| {subscriptionId} | Имя подписки, к которой применяется запрос для охоты и потоковой передачи. |
| {resourceGroupName} | Имя группы ресурсов, к которой применяется запрос для охоты и потоковой передачи. |
| {savedSearchId} | Уникальный идентификатор (GUID) каждого запроса для охоты. |
| {WorkspaceName} | Имя рабочей области Log Analytics, которая является целью запроса. |
| {DisplayName} | Выбранное вами отображаемое имя запроса. |
| {Description} | Описание запроса для охоты и потоковой передачи. |
| {Tactics} | Тактика MITRE ATT&CK, применимая к запросу. |
| {Query} | Выражение запроса. |
Пример 1
В этом примере показано, как создать или обновить запрос для охоты в определенной рабочей области Microsoft Sentinel. Для запроса на потоковую передачу в реальном времени “Category”: “Hunting Queries” на “Category”: “Livestream Queries” в тексте запроса:
Заголовок запроса
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Текст запроса
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Пример 2
В этом примере показано, как удалить запрос для охоты в определенной рабочей области Microsoft Sentinel.
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Пример 3
В этом примере показано, как получить запрос для охоты или потоковой передачи в конкретной рабочей области.
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Следующие шаги
Из этой статьи вы узнали, как управлять запросами для охоты и потоковой передачи в Microsoft Sentinel с помощью API Log Analytics. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: