Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel, compilata in parte su Azure Monitor Log Analytics, consente di usare l'API REST di Log Analytics per gestire le query di ricerca. Questo documento illustra come creare e gestire query di ricerca usando l'API REST. Le query create in questo modo vengono visualizzate nell'interfaccia utente Microsoft Sentinel. Per altre informazioni sull'API ricerche salvate, vedere le informazioni di riferimento definitive sull'API REST.
Esempi di API
Negli esempi seguenti sostituire questi segnaposto con la sostituzione prevista nella tabella seguente:
| Segnaposto | Sostituire con |
|---|---|
| {subscriptionId} | nome della sottoscrizione a cui si sta applicando la query di ricerca. |
| {resourceGroupName} | nome del gruppo di risorse a cui si sta applicando la query di ricerca. |
| {savedSearchId} | un ID univoco (GUID) per ogni query di ricerca. |
| {WorkspaceName} | nome dell'area di lavoro Log Analytics che è la destinazione della query. |
| {DisplayName} | nome visualizzato di propria scelta per la query. |
| {Descrizione} | una descrizione della query di ricerca. |
| {Tattiche} | le tattiche MITRE ATT&CK pertinenti che si applicano alla query. |
| {Query} | l'espressione di query per la query. |
Esempio 1
Questo esempio illustra come creare o aggiornare una query di ricerca per una determinata area di lavoro Microsoft Sentinel.
Intestazione della richiesta
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Corpo della richiesta
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Esempio 2
Questo esempio illustra come eliminare una query di ricerca per una determinata area di lavoro Microsoft Sentinel:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Esempio 3
Questo esempio illustra come recuperare una query di ricerca per una determinata area di lavoro:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Passaggi successivi
In questo articolo si è appreso come gestire le query di ricerca in Microsoft Sentinel usando l'API Log Analytics. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: