Hantera livestream- och jaktfrågor i Microsoft Sentinel med hjälp av REST API
Med Microsoft Sentinel, som delvis bygger på Azure Monitor Log Analytics, kan du använda Log Analytics REST API för att hantera jakt- och livestream-frågor. Det här dokumentet visar hur du skapar och hanterar jaktfrågor med hjälp av REST-API:et. Frågor som skapas på det här sättet visas i Microsoft Sentinel-användargränssnittet.
Mer information om API:et för sparade sökningar finns i den slutgiltiga REST API-referensen.
API-exempel
I följande exempel ersätter du dessa platshållare med den ersättning som föreskrivs i följande tabell:
Platshållare | Replace with |
---|---|
{subscriptionId} | namnet på prenumerationen som du tillämpar jakt- eller livestream-frågan på. |
{resourceGroupName} | namnet på den resursgrupp som du tillämpar jakt- eller livestream-frågan på. |
{savedSearchId} | ett unikt ID (GUID) för varje jaktfråga. |
{WorkspaceName} | namnet på Log Analytics-arbetsytan som är målet för frågan. |
{DisplayName} | ett visningsnamn som du väljer för frågan. |
{Beskrivning} | en beskrivning av jakt- eller livestream-frågan. |
{Taktik} | relevant MITRE ATT&CK-taktik som gäller för frågan. |
{Query} | frågeuttrycket för din fråga. |
Exempel 1
Det här exemplet visar hur du skapar eller uppdaterar en jaktfråga för en viss Microsoft Sentinel-arbetsyta. För en livestream-fråga ersätter du "Kategori": "Jaktfrågor" med "Kategori": "Livestream-frågor" i begärandetexten:
Begärandehuvud
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Begärandetext
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Exempel 2
Det här exemplet visar hur du tar bort en jakt- eller livestream-fråga för en viss Microsoft Sentinel-arbetsyta:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Exempel 3
Det här exemplet visar hur du hämtar en jakt- eller livestream-fråga för en viss arbetsyta:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Nästa steg
I den här artikeln har du lärt dig hur du hanterar jakt- och livestream-frågor i Microsoft Sentinel med hjälp av Log Analytics-API:et. Mer information om Microsoft Sentinel finns i följande artiklar: