Správa dotazů proaktivního vyhledávání a živého streamování ve službě Microsoft Sentinel s využitím rozhraní REST API
Microsoft Sentinel, který je součástí služby Azure Monitor Log Analytics, umožňuje používat rozhraní REST API služby Log Analytics ke správě dotazů proaktivního vyhledávání a živého streamování. Tento dokument ukazuje, jak vytvářet a spravovat dotazy proaktivního vyhledávání pomocí rozhraní REST API. Dotazy vytvořené tímto způsobem se zobrazí v uživatelském rozhraní Microsoft Sentinelu.
Další podrobnosti o uloženém rozhraní API pro vyhledávání najdete v referenční dokumentaci k rozhraní REST API.
Příklady rozhraní API
V následujících příkladech nahraďte tyto zástupné symboly nahrazením, které je předepsané v následující tabulce:
| Zástupný symbol | Replace with |
|---|---|
| {subscriptionId} | název předplatného, na které používáte dotaz proaktivního vyhledávání nebo živého streamu. |
| {resourceGroupName} | název skupiny prostředků, na kterou používáte dotaz proaktivního vyhledávání nebo živého streamu. |
| {savedSearchId} | jedinečné ID (GUID) pro každý dotaz proaktivního vyhledávání. |
| {WorkspaceName} | název pracovního prostoru služby Log Analytics, který je cílem dotazu. |
| {DisplayName} | zobrazovaný název dotazu. |
| {Description} | popis dotazu proaktivního vyhledávání nebo živého streamu. |
| {Taktika} | příslušné taktiky MITRE ATT&CK, které se vztahují na dotaz. |
| {Query} | výraz dotazu pro váš dotaz. |
Příklad 1
Tento příklad ukazuje, jak vytvořit nebo aktualizovat dotaz proaktivního vyhledávání pro daný pracovní prostor Služby Microsoft Sentinel. U živého streamovacího dotazu nahraďte "Category": "Proaktivní dotazy" za "Category": "Livestream Queries" v textu požadavku:
Hlavička požadavku
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Text požadavku
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Příklad 2
Tento příklad ukazuje, jak odstranit dotaz proaktivního vyhledávání nebo živého streamu pro daný pracovní prostor Služby Microsoft Sentinel:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Příklad 3
Tento příklad ukazuje načtení dotazu proaktivního vyhledávání nebo živého streamu pro daný pracovní prostor:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Další kroky
V tomto článku jste zjistili, jak spravovat dotazy proaktivního vyhledávání a živého streamování v Microsoft Sentinelu pomocí rozhraní LOG Analytics API. Další informace o službě Microsoft Sentinel najdete v následujících článcích: