Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Sentinel, criado parcialmente no Log Analytics do Azure Monitor, permite que você use a API REST do Log Analytics para gerenciar consultas de busca e transmissão ao vivo. Este documento mostra como criar e gerenciar consultas de busca usando a API REST. As consultas criadas dessa forma serão exibidas na interface do usuário do Microsoft Sentinel.
Confira a referência da API REST definitiva para obter mais detalhes sobre a API de pesquisas salvas.
Exemplos de API
Nos exemplos a seguir, substitua esses espaços reservados pela substituição prescrita na seguinte tabela:
| Espaço reservado | Substitua por |
|---|---|
| {subscriptionId} | o nome da assinatura à qual você está aplicando a consulta de busca ou transmissão ao vivo. |
| {resourceGroupName} | o nome do grupo de recursos ao qual você está aplicando a consulta de busca ou transmissão ao vivo. |
| {savedSearchId} | uma ID exclusiva (GUID) para cada consulta de busca. |
| {WorkspaceName} | o nome do workspace do Log Analytics que é o destino da consulta. |
| {DisplayName} | um nome para exibição de sua preferência para a consulta. |
| {Description} | uma descrição da consulta de busca ou transmissão ao vivo. |
| {Tactics} | as táticas MITRE ATT&CK relevantes que se aplicam à consulta. |
| {Query} | a expressão de consulta para sua consulta. |
Exemplo 1
Este exemplo mostra como criar ou atualizar uma consulta de busca para um determinado workspace do Microsoft Sentinel. Para uma consulta de transmissão ao vivo, substitua “Category”: “Hunting Queries” por “Category”: “Livestream Queries” no corpo da solicitação:
Cabeçalho da solicitação
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Corpo da solicitação
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Exemplo 2
Este exemplo mostra como excluir uma consulta de busca ou transmissão ao vivo para um determinado workspace do Microsoft Sentinel:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Exemplo 3
Este exemplo mostra como recuperar uma consulta de busca ou transmissão ao vivo para um determinado workspace:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Próximas etapas
Neste artigo, você aprendeu a gerenciar consultas de busca e transmissão ao vivo no Microsoft Sentinel usando a API do Log Analytics. Para saber mais sobre o Microsoft Azure Sentinel, confira os artigos a seguir: