Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Sentinel, der er indbygget delvist på Azure Monitor Log Analytics, kan du bruge Log Analytics' REST API til at administrere jagtforespørgsler. I dette dokument kan du se, hvordan du opretter og administrerer jagtforespørgsler ved hjælp af REST-API'en. Forespørgsler, der oprettes på denne måde, vises i brugergrænsefladen Microsoft Sentinel. Du kan finde flere oplysninger om API'en for gemte søgninger i den endelige REST API-reference.
API-eksempler
I følgende eksempler skal du erstatte disse pladsholdere med den erstatning, der er foreskrevet i følgende tabel:
| Pladsholder | Erstat med |
|---|---|
| {subscriptionId} | navnet på det abonnement, du anvender jagtforespørgslen på. |
| {resourceGroupName} | navnet på den ressourcegruppe, du anvender jagtforespørgslen på. |
| {savedSearchId} | et entydigt id (GUID) for hver jagtforespørgsel. |
| {WorkspaceName} | navnet på det Log Analytics-arbejdsområde, der er målet for forespørgslen. |
| {DisplayName} | et vist navn efter eget valg for forespørgslen. |
| {Description} | en beskrivelse af jagtforespørgslen. |
| {Taktik} | den relevante MITRE ATT&CK taktik, der gælder for forespørgslen. |
| {Query} | forespørgselsudtrykket for forespørgslen. |
Eksempel 1
I dette eksempel kan du se, hvordan du opretter eller opdaterer en jagtforespørgsel for et bestemt Microsoft Sentinel arbejdsområde.
Anmodningsheader
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Brødtekst i anmodning
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Eksempel 2
I dette eksempel kan du se, hvordan du sletter en jagtforespørgsel for et bestemt Microsoft Sentinel arbejdsområde:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Eksempel 3
I dette eksempel kan du se, hvordan du henter en jagtforespørgsel for et bestemt arbejdsområde:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Næste trin
I denne artikel har du lært, hvordan du administrerer jagtforespørgsler i Microsoft Sentinel ved hjælp af Log Analytics-API'en. Du kan få mere at vide om Microsoft Sentinel i følgende artikler: