Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Microsoft Sentinel, das in Azure Monitor Log Analytics integriert ist, können Sie die REST-API von Log Analytics verwenden, um Suchabfragen zu verwalten. In diesem Dokument wird gezeigt, wie Sie Suchabfragen mithilfe der REST-API erstellen und verwalten. Auf diese Weise erstellte Abfragen werden in der Microsoft Sentinel-Benutzeroberfläche angezeigt. Weitere Informationen zur gespeicherten Such-API finden Sie in der endgültigen REST-API-Referenz.
API-Beispiele
Ersetzen Sie in den folgenden Beispielen diese Platzhalter durch den in der folgenden Tabelle vorgeschriebenen Ersatz:
| Platzhalter | Ersetzen durch |
|---|---|
| {subscriptionId} | der Name des Abonnements, auf das Sie die Suchabfrage anwenden. |
| {resourceGroupName} | der Name der Ressourcengruppe, auf die Sie die Suchabfrage anwenden. |
| {savedSearchId} | eine eindeutige ID (GUID) für jede Suchabfrage. |
| {WorkspaceName} | der Name des Log Analytics-Arbeitsbereichs, der das Ziel der Abfrage ist. |
| {DisplayName} | ein Anzeigename Ihrer Wahl für die Abfrage. |
| {Description} | eine Beschreibung der Suchabfrage. |
| {Taktik} | die relevanten MITRE ATT&CK-Taktiken, die für die Abfrage gelten. |
| {Query} | der Abfrageausdruck für Ihre Abfrage. |
Beispiel 1
In diesem Beispiel wird gezeigt, wie Sie eine Suchabfrage für einen bestimmten Microsoft Sentinel-Arbeitsbereich erstellen oder aktualisieren.
Anforderungsheader
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Anforderungstext
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Beispiel 2
In diesem Beispiel wird gezeigt, wie Sie eine Suchabfrage für einen bestimmten Microsoft Sentinel-Arbeitsbereich löschen:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Beispiel 3
In diesem Beispiel wird gezeigt, wie Sie eine Suchabfrage für einen bestimmten Arbeitsbereich abrufen:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Suchabfragen in Microsoft Sentinel mithilfe der Log Analytics-API verwalten. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: