Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Microsoft Sentinel, będąca częścią usługi Azure Monitor Log Analytics, umożliwia korzystanie z interfejsu API REST usługi Log Analytics do zarządzania zapytaniami wyszukiwania zagrożeń i transmisji strumieniowej na żywo. W tym dokumencie pokazano, jak tworzyć zapytania wyszukiwania zagrożeń i zarządzać nimi przy użyciu interfejsu API REST. Zapytania utworzone w ten sposób będą wyświetlane w interfejsie użytkownika usługi Microsoft Sentinel.
Zobacz ostateczną dokumentację interfejsu API REST, aby uzyskać więcej informacji na temat zapisanego interfejsu API wyszukiwania.
Przykłady dotyczące interfejsu API
W poniższych przykładach zastąp te symbole zastępcze zastąpieniem określonym w poniższej tabeli:
| Symbol zastępczy | Replace with |
|---|---|
| {subscriptionId} | nazwa subskrypcji, do której stosujesz zapytanie wyszukiwania zagrożeń lub transmisji strumieniowej na żywo. |
| {resourceGroupName} | nazwa grupy zasobów, do której stosujesz zapytanie wyszukiwania zagrożeń lub transmisji strumieniowej na żywo. |
| {savedSearchId} | unikatowy identyfikator (GUID) dla każdego zapytania wyszukiwania zagrożeń. |
| {WorkspaceName} | nazwa obszaru roboczego usługi Log Analytics, który jest elementem docelowym zapytania. |
| {DisplayName} | wybrana nazwa wyświetlana zapytania. |
| {Description} | opis zapytania wyszukiwania zagrożeń lub transmisji strumieniowej na żywo. |
| {Taktyka} | odpowiednią taktykę MITRE ATT&CK, która ma zastosowanie do zapytania. |
| {Zapytanie} | wyrażenie zapytania dla zapytania. |
Przykład 1
W tym przykładzie pokazano, jak utworzyć lub zaktualizować zapytanie wyszukiwania zagrożeń dla danego obszaru roboczego usługi Microsoft Sentinel. W przypadku zapytania transmisji strumieniowej na żywo zastąp ciąg "Category": "Hunting Query" ciągiem "Category": "Livestream Query" (Zapytania transmisji strumieniowej na żywo) w treści żądania:
Nagłówek żądania
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Treść żądania
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Przykład 2
W tym przykładzie pokazano, jak usunąć zapytanie wyszukiwania zagrożeń lub transmisji strumieniowej na żywo dla danego obszaru roboczego usługi Microsoft Sentinel:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Przykład 3
W tym przykładzie pokazano, jak pobrać zapytanie wyszukiwania zagrożeń lub transmisji strumieniowej na żywo dla danego obszaru roboczego:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Następne kroki
W tym artykule przedstawiono sposób zarządzania zapytaniami wyszukiwania zagrożeń i transmisji strumieniowej na żywo w usłudze Microsoft Sentinel przy użyciu interfejsu API usługi Log Analytics. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: