Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Sentinel, die gedeeltelijk is gebouwd op Azure Log Analytics bewaken, kunt u de REST API van Log Analytics gebruiken om opsporingsquery's te beheren. Dit document laat zien hoe u opsporingsquery's maakt en beheert met behulp van de REST API. Query's die op deze manier zijn gemaakt, worden weergegeven in de gebruikersinterface van Microsoft Sentinel. Zie de definitieve REST API-verwijzing voor meer informatie over de opgeslagen zoekopdrachten-API.
API-voorbeelden
Vervang in de volgende voorbeelden deze tijdelijke aanduidingen door de vervanging die in de volgende tabel is voorgeschreven:
| Tijdelijke aanduiding | Vervangen door |
|---|---|
| {subscriptionId} | de naam van het abonnement waarop u de opsporingsquery toepast. |
| {resourceGroupName} | de naam van de resourcegroep waarop u de opsporingsquery toepast. |
| {savedSearchId} | een unieke ID (GUID) voor elke opsporingsquery. |
| {WorkspaceName} | de naam van de Log Analytics-werkruimte die het doel van de query is. |
| {DisplayName} | een weergavenaam van uw keuze voor de query. |
| {Description} | een beschrijving van de opsporingsquery. |
| {Tactics} | de relevante MITRE ATT&CK-tactieken die van toepassing zijn op de query. |
| {Query} | de queryexpressie voor uw query. |
Voorbeeld 1
In dit voorbeeld ziet u hoe u een opsporingsquery maakt of bijwerkt voor een bepaalde Microsoft Sentinel werkruimte.
Aanvraagheader
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Aanvraagtekst
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Voorbeeld 2
In dit voorbeeld ziet u hoe u een opsporingsquery verwijdert voor een bepaalde Microsoft Sentinel werkruimte:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Voorbeeld 3
In dit voorbeeld ziet u hoe u een opsporingsquery voor een bepaalde werkruimte ophaalt:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Volgende stappen
In dit artikel hebt u geleerd hoe u opsporingsquery's beheert in Microsoft Sentinel met behulp van de Log Analytics-API. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: