Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel, in fase di compilazione in Log Analytics di Monitoraggio di Azure, consente di usare l'API REST di Log Analytics per gestire le query di ricerca. Questo documento illustra come creare e gestire query di ricerca usando l'API REST. Le query create in questo modo vengono visualizzate nell'interfaccia utente di Microsoft Sentinel. Per altre informazioni sull'API ricerche salvate, vedere le informazioni di riferimento sull'API REST definitiva.
Esempi di API
Negli esempi seguenti sostituire questi segnaposto con la sostituzione specificata nella tabella seguente:
| Segnaposto | Sostituire con |
|---|---|
| {subscriptionId} | nome della sottoscrizione a cui si sta applicando la query di ricerca. |
| {resourceGroupName} | nome del gruppo di risorse a cui si sta applicando la query di ricerca. |
| {savedSearchId} | ID univoco (GUID) per ogni query di ricerca. |
| {WorkspaceName} | nome dell'area di lavoro Log Analytics che rappresenta la destinazione della query. |
| {DisplayName} | nome visualizzato di propria scelta per la query. |
| {Descrizione} | descrizione della query di ricerca. |
| {Tattiche} | le tattiche MITRE ATT&CK pertinenti che si applicano alla query. |
| {Query} | espressione di query per la query. |
Esempio 1
Questo esempio illustra come creare o aggiornare una query di ricerca per una determinata area di lavoro di Microsoft Sentinel.
Header di richiesta
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Corpo della richiesta
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Esempio 2
Questo esempio illustra come eliminare una query di ricerca per una determinata area di lavoro di Microsoft Sentinel:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Esempio 3
Questo esempio illustra come recuperare una query di ricerca per una determinata area di lavoro:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Passaggi successivi
In questo articolo si è appreso come gestire le query di ricerca in Microsoft Sentinel usando l'API Log Analytics. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: