你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Entity Queries - Get
获取实体查询。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entityQueries/{entityQueryId}?api-version=2024-01-01-preview
URI 参数
名称 | 在 | 必需 | 类型 | 说明 |
---|---|---|---|---|
entity
|
path | True |
string |
实体查询 ID |
resource
|
path | True |
string |
资源组的名称。 此名称不区分大小写。 |
subscription
|
path | True |
string |
目标订阅的 ID。 |
workspace
|
path | True |
string |
工作区的名称。 Regex pattern: |
api-version
|
query | True |
string |
要用于此操作的 API 版本。 |
响应
名称 | 类型 | 说明 |
---|---|---|
200 OK |
EntityQuery:
|
确定 |
Other Status Codes |
Cloud |
描述操作失败原因的错误响应。 |
安全性
azure_auth
Azure Active Directory OAuth2 流
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
名称 | 说明 |
---|---|
user_impersonation | 模拟用户帐户 |
示例
Get an Activity entity query. |
Get an Expansion entity query. |
Get an Activity entity query.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entityQueries/07da3cc8-c8ad-4710-a44e-334cdcb7882b?api-version=2024-01-01-preview
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entityQueries/07da3cc8-c8ad-4710-a44e-334cdcb7882b",
"name": "07da3cc8-c8ad-4710-a44e-334cdcb7882b",
"type": "Microsoft.SecurityInsights/entityQueries",
"etag": null,
"kind": "Activity",
"properties": {
"title": "An account was deleted on this host",
"content": "On '{{Computer}}' the account '{{TargetAccount}}' was deleted by '{{AddedBy}}'",
"description": "Account deleted on host",
"queryDefinitions": {
"query": "let GetAccountActions = (v_Host_Name:string, v_Host_NTDomain:string, v_Host_DnsDomain:string, v_Host_AzureID:string, v_Host_OMSAgentID:string){\nSecurityEvent\n| where EventID in (4725, 4726, 4767, 4720, 4722, 4723, 4724)\n// parsing for Host to handle variety of conventions coming from data\n| extend Host_HostName = case(\nComputer has '@', tostring(split(Computer, '@')[0]),\nComputer has '\\\\', tostring(split(Computer, '\\\\')[1]),\nComputer has '.', tostring(split(Computer, '.')[0]),\nComputer\n)\n| extend Host_NTDomain = case(\nComputer has '\\\\', tostring(split(Computer, '\\\\')[0]), \nComputer has '.', tostring(split(Computer, '.')[-2]), \nComputer\n)\n| extend Host_DnsDomain = case(\nComputer has '\\\\', tostring(split(Computer, '\\\\')[0]), \nComputer has '.', strcat_array(array_slice(split(Computer,'.'),-2,-1),'.'), \nComputer\n)\n| where (Host_HostName =~ v_Host_Name and Host_NTDomain =~ v_Host_NTDomain) \nor (Host_HostName =~ v_Host_Name and Host_DnsDomain =~ v_Host_DnsDomain) \nor v_Host_AzureID =~ _ResourceId \nor v_Host_OMSAgentID == SourceComputerId\n| project TimeGenerated, EventID, Activity, Computer, TargetAccount, TargetUserName, TargetDomainName, TargetSid, SubjectUserName, SubjectUserSid, _ResourceId, SourceComputerId\n| extend AddedBy = SubjectUserName\n// Future support for Activities\n| extend timestamp = TimeGenerated, HostCustomEntity = Computer, AccountCustomEntity = TargetAccount\n};\nGetAccountActions('{{Host_HostName}}', '{{Host_NTDomain}}', '{{Host_DnsDomain}}', '{{Host_AzureID}}', '{{Host_OMSAgentID}}')\n \n| where EventID == 4726 "
},
"inputEntityType": "Host",
"requiredInputFieldsSets": [
[
"Host_HostName",
"Host_NTDomain"
],
[
"Host_HostName",
"Host_DnsDomain"
],
[
"Host_AzureID"
],
[
"Host_OMSAgentID"
]
],
"entitiesFilter": {
"Host_OsFamily": [
"Windows"
]
},
"enabled": true,
"templateName": null,
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z"
}
}
Get an Expansion entity query.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entityQueries/07da3cc8-c8ad-4710-a44e-334cdcb7882b?api-version=2024-01-01-preview
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entityQueries/07da3cc8-c8ad-4710-a44e-334cdcb7882b",
"name": "07da3cc8-c8ad-4710-a44e-334cdcb7882b",
"type": "Microsoft.SecurityInsights/entityQueries",
"etag": null,
"kind": "Expansion",
"properties": {
"queryTemplate": "let GetParentProcessesOnHost = (v_Host_HostName:string){\r\n SecurityEvent \r\n | where EventID == 4688 \r\n | where isnotempty(ParentProcessName)\r\n | where NewProcessName !contains ':\\\\Windows\\\\System32\\\\conhost.exe' and ParentProcessName !contains ':\\\\Windows\\\\System32\\\\conhost.exe'\r\n and NewProcessName !contains ':\\\\Windows\\\\Microsoft.NET\\\\Framework64\\\\v2.0.50727\\\\csc.exe' and ParentProcessName !contains ':\\\\Windows\\\\Microsoft.NET\\\\Framework64\\\\v2.0.50727\\\\csc.exe'\r\n and NewProcessName !contains ':\\\\Windows\\\\Microsoft.NET\\\\Framework64\\\\v2.0.50727\\\\cvtres.exe' and ParentProcessName !contains ':\\\\Windows\\\\Microsoft.NET\\\\Framework64\\\\v2.0.50727\\\\cvtres.exe'\r\n and NewProcessName!contains ':\\\\Program Files\\\\Microsoft Monitoring Agent\\\\Agent\\\\MonitoringHost.exe' and ParentProcessName !contains ':\\\\Program Files\\\\Microsoft Monitoring Agent\\\\Agent\\\\MonitoringHost.exe'\r\n and ParentProcessName !contains ':\\\\Windows\\\\CCM\\\\CcmExec.exe'\r\n | where(ParentProcessName !contains ':\\\\Windows\\\\System32\\\\svchost.exe' and (NewProcessName !contains ':\\\\Windows\\\\System32\\\\wbem\\\\WmiPrvSE.exe' or NewProcessName !contains ':\\\\Windows\\\\SysWOW64\\\\wbem\\\\WmiPrvSE.exe'))\r\n | where(ParentProcessName !contains ':\\\\Windows\\\\System32\\\\services.exe' and NewProcessName !contains ':\\\\Windows\\\\servicing\\\\TrustedInstaller.exe')\r\n | where toupper(Computer) contains v_Host_HostName or toupper(WorkstationName) contains v_Host_HostName\r\n | summarize min(TimeGenerated), max(TimeGenerated) by Account, Computer, ParentProcessName, NewProcessName, CommandLine, ProcessId\r\n | project min_TimeGenerated, max_TimeGenerated, Account, Computer, ParentProcessName, NewProcessName, CommandLine, ProcessId\r\n | project-rename Process_Host_UnstructuredName=Computer, Process_Account_UnstructuredName=Account, Process_CommandLine=CommandLine, Process_ProcessId=ProcessId, Process_ImageFile_FullPath=NewProcessName, Process_ParentProcess_ImageFile_FullPath=ParentProcessName\r\n | top 10 by min_TimeGenerated asc};\r\n GetParentProcessesOnHost(toupper('<hostName>'))",
"inputFields": [
"hostName"
],
"outputEntityTypes": [
"Process"
],
"dataSources": [
"SecurityEvent"
],
"inputEntityType": "Host",
"displayName": "Parent processes running on host"
}
}
定义
名称 | 说明 |
---|---|
Activity |
表示活动实体查询。 |
Cloud |
错误响应结构。 |
Cloud |
错误详细信息。 |
created |
创建资源的标识类型。 |
Entity |
实体查询的类型 |
Entity |
查询的源实体的类型 |
Expansion |
表示扩展实体查询。 |
Query |
活动查询定义 |
system |
与资源的创建和上次修改相关的元数据。 |
ActivityEntityQuery
表示活动实体查询。
名称 | 类型 | 说明 |
---|---|---|
etag |
string |
Azure 资源的 Etag |
id |
string |
资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Activity |
实体查询类型 |
name |
string |
资源的名称 |
properties.content |
string |
要显示在 时间线 中的实体查询内容 |
properties.createdTimeUtc |
string |
活动创建时间 |
properties.description |
string |
实体查询说明 |
properties.enabled |
boolean |
确定是启用还是禁用此活动。 |
properties.entitiesFilter |
object |
查询仅应用于与所有筛选器匹配的实体 |
properties.inputEntityType |
Entity |
查询的源实体的类型 |
properties.lastModifiedTimeUtc |
string |
上次更新活动的时间 |
properties.queryDefinitions |
Query |
活动查询定义 |
properties.requiredInputFieldsSets |
string[] |
运行查询所需的源实体字段列表 |
properties.templateName |
string |
创建此活动的模板 ID |
properties.title |
string |
实体查询标题 |
systemData |
system |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
CloudError
错误响应结构。
名称 | 类型 | 说明 |
---|---|---|
error |
Cloud |
错误数据 |
CloudErrorBody
错误详细信息。
名称 | 类型 | 说明 |
---|---|---|
code |
string |
错误的标识符。 代码是固定的,旨在以编程方式使用。 |
message |
string |
描述错误的消息,该消息适用于在用户界面中显示。 |
createdByType
创建资源的标识类型。
名称 | 类型 | 说明 |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityQueryKind
实体查询的类型
名称 | 类型 | 说明 |
---|---|---|
Activity |
string |
|
Expansion |
string |
|
Insight |
string |
EntityType
查询的源实体的类型
名称 | 类型 | 说明 |
---|---|---|
Account |
string |
实体表示系统中的帐户。 |
AzureResource |
string |
实体表示系统中的 azure 资源。 |
CloudApplication |
string |
实体表示系统中的云应用程序。 |
DNS |
string |
实体表示系统中的 dns。 |
File |
string |
实体表示系统中的文件。 |
FileHash |
string |
实体表示系统中的文件哈希。 |
Host |
string |
实体表示系统中的主机。 |
HuntingBookmark |
string |
实体表示系统中的 HuntingBookmark。 |
IP |
string |
实体表示系统中的 IP。 |
IoTDevice |
string |
实体表示系统中的 IoT 设备。 |
MailCluster |
string |
实体表示系统中的邮件群集。 |
MailMessage |
string |
实体表示系统中的邮件。 |
Mailbox |
string |
实体表示系统中的邮箱。 |
Malware |
string |
实体表示系统中的恶意软件。 |
Nic |
string |
实体表示系统中的网络接口。 |
Process |
string |
实体表示系统中的进程。 |
RegistryKey |
string |
实体表示系统中的注册表项。 |
RegistryValue |
string |
实体表示系统中的注册表值。 |
SecurityAlert |
string |
实体表示系统中的安全警报。 |
SecurityGroup |
string |
实体表示系统中的安全组。 |
SubmissionMail |
string |
实体表示系统中的提交邮件。 |
URL |
string |
实体表示系统中的 URL。 |
ExpansionEntityQuery
表示扩展实体查询。
名称 | 类型 | 说明 |
---|---|---|
etag |
string |
Azure 资源的 Etag |
id |
string |
资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Expansion |
实体查询类型 |
name |
string |
资源的名称 |
properties.dataSources |
string[] |
运行查询所需的数据源列表 |
properties.displayName |
string |
查询显示名称 |
properties.inputEntityType |
Entity |
查询的源实体的类型 |
properties.inputFields |
string[] |
运行查询所需的源实体字段列表 |
properties.outputEntityTypes |
Entity |
要从结果构造的所需输出类型的列表 |
properties.queryTemplate |
string |
要分析和设置格式的模板查询字符串 |
systemData |
system |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
QueryDefinitions
活动查询定义
名称 | 类型 | 说明 |
---|---|---|
query |
string |
在给定实体上运行的活动查询 |
systemData
与资源的创建和上次修改相关的元数据。
名称 | 类型 | 说明 |
---|---|---|
createdAt |
string |
资源的创建时间戳 (UTC) 。 |
createdBy |
string |
创建资源的标识。 |
createdByType |
created |
创建资源的标识类型。 |
lastModifiedAt |
string |
资源上次修改的时间戳 (UTC) |
lastModifiedBy |
string |
上次修改资源的标识。 |
lastModifiedByType |
created |
上次修改资源的标识类型。 |