Condividi tramite


Gestire le query di ricerca e livestream in Microsoft Sentinel usando l'API REST

Microsoft Sentinel, creato in parte in Log Analytics di Monitoraggio di Azure, consente di usare l'API REST di Log Analytics per gestire la ricerca e le query livestream. Questo documento illustra come creare e gestire query di ricerca usando l'API REST. Le query create in questo modo verranno visualizzate nell'interfaccia utente di Microsoft Sentinel.

Per altri dettagli sull'API di ricerca salvata, vedere le informazioni di riferimento sull'API REST definitiva.

Esempi di API

Negli esempi seguenti sostituire questi segnaposto con la sostituzione specificata nella tabella seguente:

Segnaposto Replace with
{subscriptionId} nome della sottoscrizione a cui si sta applicando la query di ricerca o livestream.
{resourceGroupName} nome del gruppo di risorse a cui si sta applicando la query di ricerca o livestream.
{savedSearchId} ID univoco (GUID) per ogni query di ricerca.
{WorkspaceName} nome dell'area di lavoro Log Analytics che rappresenta la destinazione della query.
{DisplayName} nome visualizzato di propria scelta per la query.
{Descrizione} una descrizione della query di ricerca o livestream.
{Tattiche} le tattiche MITRE ATT&CK pertinenti che si applicano alla query.
{Query} espressione di query per la query.

Esempio 1

Questo esempio illustra come creare o aggiornare una query di ricerca per una determinata area di lavoro di Microsoft Sentinel. Per una query livestream, sostituire "Category": "Hunting Queries" con "Category": "Livestream Queries" nel corpo della richiesta:

Intestazione della richiesta

PUT https://management.azure.com/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Corpo della richiesta

{
"properties": {
    “Category”: “Hunting Queries”,
    "DisplayName": "HuntingRule02",
    "Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
    “Tags”: [
        { 
        “Name”: “Description”,
        “Value”: “Test Hunting Query”
        },
        { 
        “Name”: “Tactics”,
        “Value”: “Execution, Discovery”
        }
        ]        
    }
}

Esempio 2

Questo esempio illustra come eliminare una query di ricerca o livestream per una determinata area di lavoro di Microsoft Sentinel:

DELETE https://management.azure.com/subscriptions/{subscriptionId} _
       /resourcegroups/{resourceGroupName} _
       /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
       /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Esempio 3

Questo esempio mostra come recuperare una query di ricerca o livestream per una determinata area di lavoro:

GET https://management.azure.com/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Passaggi successivi

In questo articolo si è appreso come gestire la ricerca e le query livestream in Microsoft Sentinel usando l'API Di Log Analytics. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: