다음을 통해 공유

REST API를 사용하여 Microsoft Sentinel에서 헌팅 및 실시간 스트리밍 쿼리 관리

  • 아티클

Azure Monitor Log Analytics에 부분적으로 빌드된 Microsoft Sentinel을 사용하면 Log Analytics의 REST API를 사용하여 헌팅 및 라이브 스트림 쿼리를 관리할 수 있습니다. 이 문서에서는 REST API를 사용하여 헌팅 쿼리를 만들고 관리하는 방법을 보여 줍니다. 이러한 방식으로 만들어진 쿼리는 Microsoft Sentinel UI에 표시됩니다.

저장된 검색 API에 대한 자세한 내용은 최종 REST API 참조를 참조하세요.

API 예제

다음 예제에서는 이러한 자리 표시자를 다음 표에 규정된 대체 개체 틀로 바꿉니다.

자리 표시자 Replace with
{subscriptionId} 헌팅 또는 라이브 스트림 쿼리를 적용할 구독의 이름입니다.
{resourceGroupName} 헌팅 또는 라이브 스트림 쿼리를 적용할 리소스 그룹의 이름입니다.
{savedSearchId} 각 헌팅 쿼리에 대한 고유 ID(GUID)입니다.
{WorkspaceName} 쿼리의 대상인 Log Analytics 작업 영역의 이름입니다.
{DisplayName} 쿼리에 대해 선택한 표시 이름입니다.
{Description} 헌팅 또는 라이브 스트림 쿼리에 대한 설명입니다.
{Tactics} 쿼리에 적용되는 관련 MITRE ATT&CK 전술입니다.
{Query} 쿼리에 대한 쿼리 식입니다.

예 1

이 예에서는 지정된 Microsoft Sentinel 작업 영역에 대한 헌팅 쿼리를 만들거나 업데이트하는 방법을 보여 줍니다. 라이브 스트림 쿼리의 경우 요청 본문에서 "범주": "헌팅 쿼리"를 "범주": "라이브 스트림 쿼리"로 바꿉니다.

요청 헤더

PUT https://management.azure.com/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

요청 본문

{
"properties": {
    “Category”: “Hunting Queries”,
    "DisplayName": "HuntingRule02",
    "Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
    “Tags”: [
        { 
        “Name”: “Description”,
        “Value”: “Test Hunting Query”
        },
        { 
        “Name”: “Tactics”,
        “Value”: “Execution, Discovery”
        }
        ]        
    }
}

예제 2

이 예에서는 지정된 Microsoft Sentinel 작업 영역에 대한 헌팅 또는 라이브스트림 쿼리를 삭제하는 방법을 보여 줍니다.

DELETE https://management.azure.com/subscriptions/{subscriptionId} _
       /resourcegroups/{resourceGroupName} _
       /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
       /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

예 3

이 예제에서는 지정된 작업 영역에 대한 헌팅 또는 라이브 스트림 쿼리를 검색하는 방법을 보여줍니다.

GET https://management.azure.com/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

다음 단계

이 문서에서는 Log Analytics API를 사용하여 Microsoft Sentinel에서 헌팅 및 라이브 스트림 쿼리를 관리하는 방법을 배웠습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.