Dela via


Hantera livestream- och jaktfrågor i Microsoft Sentinel med hjälp av REST API

Med Microsoft Sentinel, som delvis bygger på Azure Monitor Log Analytics, kan du använda Log Analytics REST API för att hantera jakt- och livestream-frågor. Det här dokumentet visar hur du skapar och hanterar jaktfrågor med hjälp av REST-API:et. Frågor som skapas på det här sättet visas i Microsoft Sentinel-användargränssnittet.

Mer information om API:et för sparade sökningar finns i den slutgiltiga REST API-referensen.

API-exempel

I följande exempel ersätter du dessa platshållare med den ersättning som föreskrivs i följande tabell:

Platshållare Replace with
{subscriptionId} namnet på prenumerationen som du tillämpar jakt- eller livestream-frågan på.
{resourceGroupName} namnet på den resursgrupp som du tillämpar jakt- eller livestream-frågan på.
{savedSearchId} ett unikt ID (GUID) för varje jaktfråga.
{WorkspaceName} namnet på Log Analytics-arbetsytan som är målet för frågan.
{DisplayName} ett visningsnamn som du väljer för frågan.
{Beskrivning} en beskrivning av jakt- eller livestream-frågan.
{Taktik} relevant MITRE ATT&CK-taktik som gäller för frågan.
{Query} frågeuttrycket för din fråga.

Exempel 1

Det här exemplet visar hur du skapar eller uppdaterar en jaktfråga för en viss Microsoft Sentinel-arbetsyta. För en livestream-fråga ersätter du "Kategori": "Jaktfrågor" med "Kategori": "Livestream-frågor" i begärandetexten:

Begärandehuvud

PUT https://management.azure.com/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Begärandetext

{
"properties": {
    “Category”: “Hunting Queries”,
    "DisplayName": "HuntingRule02",
    "Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
    “Tags”: [
        { 
        “Name”: “Description”,
        “Value”: “Test Hunting Query”
        },
        { 
        “Name”: “Tactics”,
        “Value”: “Execution, Discovery”
        }
        ]        
    }
}

Exempel 2

Det här exemplet visar hur du tar bort en jakt- eller livestream-fråga för en viss Microsoft Sentinel-arbetsyta:

DELETE https://management.azure.com/subscriptions/{subscriptionId} _
       /resourcegroups/{resourceGroupName} _
       /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
       /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Exempel 3

Det här exemplet visar hur du hämtar en jakt- eller livestream-fråga för en viss arbetsyta:

GET https://management.azure.com/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Nästa steg

I den här artikeln har du lärt dig hur du hanterar jakt- och livestream-frågor i Microsoft Sentinel med hjälp av Log Analytics-API:et. Mer information om Microsoft Sentinel finns i följande artiklar: