使用 REST API 管理 Azure Sentinel 中的搜捕和即時資料流查詢
Microsoft Sentinel 是建置於 Azure 監視器 Log Analytics 上的一部分,可讓您使用 Log Analytics 的 REST API 來管理搜捕和即時串流查詢。 本文件說明如何使用 REST API 建立和管理搜捕查詢。 以這種方式建立的查詢將會顯示在 Microsoft Sentinel UI 中。
如需已儲存搜尋 API 的詳細資訊, 請參閱明確的 REST API 參考。
API 範例
在下列範例中,請將這些佔位元取代為下表中指定的取代專案:
| 預留位置 | Replace with |
|---|---|
| {subscriptionId} | 您要套用搜捕或即時串流查詢的訂用帳戶名稱。 |
| {resourceGroupName} | 您要套用搜捕或即時串流查詢的資源群組名稱。 |
| {savedSearchId} | 每個搜捕查詢的唯一標識碼 (GUID)。 |
| {WorkspaceName} | Log Analytics 工作區的名稱,該工作區是查詢的目標。 |
| {DisplayName} | 查詢所選取的顯示名稱。 |
| {Description} | 搜捕或即時串流查詢的描述。 |
| {策略} | 適用於查詢的相關 MITRE ATT&CK 策略。 |
| {Query} | 查詢的查詢表達式。 |
範例 1
此範例示範如何建立或更新指定 Microsoft Sentinel 工作區的搜捕查詢。 若為即時串流查詢,請將 「類別」:「搜捕查詢」取代為要求本文中的「類別」:「即時串流查詢」:
要求標頭
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
要求本文
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
範例 2
此範例示範如何刪除指定 Microsoft Sentinel 工作區的搜捕或即時串流查詢:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
範例 3
此範例示範如何擷取指定工作區的搜捕或即時串流查詢:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
下一步
在本文中,您已瞭解如何使用Log Analytics API 管理 Microsoft Sentinel 中的搜捕和即時串流查詢。 若要深入了解 Microsoft Sentinel,請參閱下列文章: