Opsporings- en livestreamquery's beheren in Microsoft Sentinel met behulp van REST API

Met Microsoft Sentinel, dat onderdeel uitmaakt van Azure Monitor Log Analytics, kunt u de REST API van Log Analytics gebruiken om opsporings- en livestreamquery's te beheren. In dit document ziet u hoe u opsporingsquery's maakt en beheert met behulp van de REST API. Query's die op deze manier worden gemaakt, worden weergegeven in de gebruikersinterface van Microsoft Sentinel.

Zie de definitieve REST API-verwijzing voor meer informatie over de opgeslagen zoekopdrachten-API.

API-voorbeelden

Vervang in de volgende voorbeelden deze tijdelijke aanduidingen door de vervanging die in de volgende tabel is voorgeschreven:

Plaatsaanduiding	Replace with
{subscriptionId}	de naam van het abonnement waarop u de opsporings- of livestreamquery toepast.
{resourceGroupName}	de naam van de resourcegroep waarop u de opsporings- of livestreamquery toepast.
{savedSearchId}	een unieke id (GUID) voor elke opsporingsquery.
{WorkspaceName}	de naam van de Log Analytics-werkruimte die het doel van de query is.
{DisplayName}	een weergavenaam van uw keuze voor de query.
{Description}	een beschrijving van de opsporings- of livestreamquery.
{Tactieken}	de relevante MITRE ATT&CK-tactieken die van toepassing zijn op de query.
{Query}	de query-expressie voor uw query.

Voorbeeld 1

In dit voorbeeld ziet u hoe u een opsporingsquery voor een bepaalde Microsoft Sentinel-werkruimte maakt of bijwerkt. Voor een livestreamquery vervangt u 'Categorie': 'Opsporingsquery's' door 'Categorie': 'Livestream-query's' in de aanvraagbody:

Aanvraagheader

PUT https://management.azure.com/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Aanvraagtekst

{
"properties": {
    “Category”: “Hunting Queries”,
    "DisplayName": "HuntingRule02",
    "Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
    “Tags”: [
        { 
        “Name”: “Description”,
        “Value”: “Test Hunting Query”
        },
        { 
        “Name”: “Tactics”,
        “Value”: “Execution, Discovery”
        }
        ]        
    }
}

Voorbeeld 2

In dit voorbeeld ziet u hoe u een opsporings- of livestreamquery verwijdert voor een bepaalde Microsoft Sentinel-werkruimte:

DELETE https://management.azure.com/subscriptions/{subscriptionId} _
       /resourcegroups/{resourceGroupName} _
       /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
       /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Voorbeeld 3

In dit voorbeeld ziet u hoe u een opsporings- of livestreamquery voor een bepaalde werkruimte ophaalt:

GET https://management.azure.com/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

Volgende stappen

In dit artikel hebt u geleerd hoe u opsporings- en livestreamquery's in Microsoft Sentinel beheert met behulp van de Log Analytics-API. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Proactief zoeken naar bedreigingen
• Notebooks gebruiken om geautomatiseerde opsporingscampagnes uit te voeren