Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Microsoft Sentinel, das teilweise auf Azure Monitor Log Analytics basiert, können Sie die REST-API von Log Analytics nutzen, um Hunting- und Livestream-Abfragen zu verwalten. Dieses Dokument zeigt, wie Sie Huntingabfragen über die REST-API erstellen und verwalten. Auf diese Weise erstellte Abfragen werden auf der Microsoft Sentinel-Benutzeroberfläche angezeigt.
Weitere Informationen zur API für gespeicherte Suchvorgänge finden Sie in der endgültigen REST-API-Referenz.
API-Beispiele
Ersetzen Sie in den folgenden Beispielen die jeweiligen Platzhalter durch die in der nachstehenden Tabelle angegebenen Werte:
| Platzhalter | Ersetzen durch |
|---|---|
| {subscriptionId} | Name des Abonnements, auf die Sie die Hunting- oder Livestreamabfrage anwenden |
| {resourceGroupName} | Name der Ressourcengruppe, auf die Sie die Hunting- oder Livestreamabfrage anwenden |
| {savedSearchId} | Eindeutiger Bezeichner (GUID) für jede Huntingabfrage |
| {WorkspaceName} | Name des Log Analytics-Arbeitsbereichs, der Ziel der Abfrage ist |
| {DisplayName} | Anzeigename Ihrer Wahl für die Abfrage |
| {Description} | Beschreibung der Hunting- oder Livestreamabfrage |
| {Tactics} | Relevante MITRE ATT&CK-Taktiken, die für die Abfrage gelten |
| {Query} | Abfrageausdruck für Ihre Abfrage |
Beispiel 1
In diesem Beispiel wird gezeigt, wie Sie eine Hunting-Abfrage für einen bestimmten Microsoft Sentinel-Arbeitsbereich erstellen oder aktualisieren. Bei einer Livestreamabfrage ersetzen Sie “Category”: “Hunting Queries” durch “Category”: “Livestream Queries” im Anforderungstext:
Anforderungsheader
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Anforderungstext
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Beispiel 2
In diesem Beispiel wird gezeigt, wie Sie eine Hunting- oder Livestream-Abfrage für einen bestimmten Microsoft Sentinel-Arbeitsbereich löschen:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Beispiel 3
Dieses Beispiel zeigt, wie Sie eine Hunting- oder Livestreamabfrage für einen bestimmten Arbeitsbereich abrufen:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Hunting- und Livestream-Abfragen in Microsoft Sentinel mithilfe der Log Analytics-API verwalten. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: