Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Sentinel, que se integra en parte en Azure Monitor Log Analytics, permite usar la API REST de Log Analytics para administrar consultas de búsqueda. En este documento se muestra cómo crear y administrar consultas de búsqueda mediante la API REST. Las consultas creadas de esta manera se muestran en la interfaz de usuario de Microsoft Sentinel. Para obtener más información sobre la API de búsquedas guardadas, consulte la referencia definitiva de la API REST.
Ejemplos de API
En los ejemplos siguientes, reemplace estos marcadores de posición por el reemplazo prescrito en la tabla siguiente:
| Marcador de posición | Reemplazar por |
|---|---|
| {subscriptionId} | el nombre de la suscripción a la que va a aplicar la consulta de búsqueda. |
| {resourceGroupName} | nombre del grupo de recursos al que va a aplicar la consulta de búsqueda. |
| {savedSearchId} | un identificador único (GUID) para cada consulta de búsqueda. |
| {WorkspaceName} | el nombre del área de trabajo de Log Analytics que es el destino de la consulta. |
| {DisplayName} | un nombre para mostrar de su elección para la consulta. |
| {Descripción} | una descripción de la consulta de búsqueda. |
| {Tactics} | las tácticas de MITRE ATT&CK pertinentes que se aplican a la consulta. |
| {Query} | la expresión de consulta de la consulta. |
Ejemplo 1
En este ejemplo se muestra cómo crear o actualizar una consulta de búsqueda para un área de trabajo Microsoft Sentinel determinada.
Encabezado de solicitud
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Cuerpo de la solicitud
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Ejemplo 2
En este ejemplo se muestra cómo eliminar una consulta de búsqueda para un área de trabajo Microsoft Sentinel determinada:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Ejemplo 3
En este ejemplo se muestra cómo recuperar una consulta de búsqueda para un área de trabajo determinada:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Pasos siguientes
En este artículo, ha aprendido a administrar consultas de búsqueda en Microsoft Sentinel mediante la API de Log Analytics. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes: