Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Sentinel, que está a ser criado em parte no Azure Monitor Log Analytics, permite-lhe utilizar a API REST do Log Analytics para gerir consultas de investigação. Este documento mostra-lhe como criar e gerir consultas de investigação com a API REST. As consultas criadas desta forma são apresentadas na IU do Microsoft Sentinel. Para obter mais informações sobre a API de pesquisas guardadas, veja a referência definitiva da API REST.
Exemplos de API
Nos exemplos seguintes, substitua estes marcadores de posição pela substituição prescrita na tabela seguinte:
| Marcador de Posição | Substituir por |
|---|---|
| {subscriptionId} | o nome da subscrição à qual está a aplicar a consulta de investigação. |
| {resourceGroupName} | o nome do grupo de recursos ao qual está a aplicar a consulta de investigação. |
| {savedSearchId} | um ID exclusivo (GUID) para cada consulta de investigação. |
| {WorkspaceName} | o nome da área de trabalho do Log Analytics que é o destino da consulta. |
| {DisplayName} | um nome a apresentar à sua escolha para a consulta. |
| {Description} | uma descrição da consulta de investigação. |
| {Tactics} | o MITRE ATT relevante&táticas CK que se aplicam à consulta. |
| {Query} | a expressão de consulta da consulta. |
Exemplo 1
Este exemplo mostra-lhe como criar ou atualizar uma consulta de investigação para uma determinada área de trabalho Microsoft Sentinel.
Cabeçalho do pedido
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Corpo do pedido
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Exemplo 2
Este exemplo mostra-lhe como eliminar uma consulta de investigação para uma determinada área de trabalho Microsoft Sentinel:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Exemplo 3
Este exemplo mostra-lhe como obter uma consulta de investigação para uma determinada área de trabalho:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Passos seguintes
Neste artigo, aprendeu a gerir consultas de investigação no Microsoft Sentinel com a API do Log Analytics. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos: