Zarządzanie zapytaniami dotyczącymi wyszukiwania zagrożeń i transmisji strumieniowej na żywo w usłudze Microsoft Sentinel przy użyciu interfejsu API REST
Usługa Microsoft Sentinel, będąca częścią usługi Azure Monitor Log Analytics, umożliwia korzystanie z interfejsu API REST usługi Log Analytics do zarządzania zapytaniami wyszukiwania zagrożeń i transmisji strumieniowej na żywo. W tym dokumencie pokazano, jak tworzyć zapytania wyszukiwania zagrożeń i zarządzać nimi przy użyciu interfejsu API REST. Zapytania utworzone w ten sposób będą wyświetlane w interfejsie użytkownika usługi Microsoft Sentinel.
Zobacz ostateczną dokumentację interfejsu API REST, aby uzyskać więcej informacji na temat zapisanego interfejsu API wyszukiwania.
Przykłady dotyczące interfejsu API
W poniższych przykładach zastąp te symbole zastępcze zastąpieniem określonym w poniższej tabeli:
| Symbol zastępczy | Replace with |
|---|---|
| {subscriptionId} | nazwa subskrypcji, do której stosujesz zapytanie wyszukiwania zagrożeń lub transmisji strumieniowej na żywo. |
| {resourceGroupName} | nazwa grupy zasobów, do której stosujesz zapytanie wyszukiwania zagrożeń lub transmisji strumieniowej na żywo. |
| {savedSearchId} | unikatowy identyfikator (GUID) dla każdego zapytania wyszukiwania zagrożeń. |
| {WorkspaceName} | nazwa obszaru roboczego usługi Log Analytics, który jest elementem docelowym zapytania. |
| {DisplayName} | wybrana nazwa wyświetlana zapytania. |
| {Description} | opis zapytania wyszukiwania zagrożeń lub transmisji strumieniowej na żywo. |
| {Taktyka} | odpowiednią taktykę MITRE ATT&CK, która ma zastosowanie do zapytania. |
| {Zapytanie} | wyrażenie zapytania dla zapytania. |
Przykład 1
W tym przykładzie pokazano, jak utworzyć lub zaktualizować zapytanie wyszukiwania zagrożeń dla danego obszaru roboczego usługi Microsoft Sentinel. W przypadku zapytania transmisji strumieniowej na żywo zastąp ciąg "Category": "Hunting Query" ciągiem "Category": "Livestream Query" (Zapytania transmisji strumieniowej na żywo) w treści żądania:
Nagłówek żądania
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Treść żądania
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Przykład 2
W tym przykładzie pokazano, jak usunąć zapytanie wyszukiwania zagrożeń lub transmisji strumieniowej na żywo dla danego obszaru roboczego usługi Microsoft Sentinel:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Przykład 3
W tym przykładzie pokazano, jak pobrać zapytanie wyszukiwania zagrożeń lub transmisji strumieniowej na żywo dla danego obszaru roboczego:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Następne kroki
W tym artykule przedstawiono sposób zarządzania zapytaniami wyszukiwania zagrożeń i transmisji strumieniowej na żywo w usłudze Microsoft Sentinel przy użyciu interfejsu API usługi Log Analytics. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: