Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Sentinel, som delvis bygger på Azure Övervaka Log Analytics, kan du använda Log Analytics REST API för att hantera jaktfrågor. Det här dokumentet visar hur du skapar och hanterar jaktfrågor med hjälp av REST-API:et. Frågor som skapas på det här sättet visas i användargränssnittet för Microsoft Sentinel. Mer information om API:et för sparade sökningar finns i den slutgiltiga REST API-referensen.
API-exempel
I följande exempel ersätter du dessa platshållare med den ersättning som föreskrivs i följande tabell:
| Platshållare | Ersätt med |
|---|---|
| {subscriptionId} | namnet på den prenumeration som du tillämpar jaktfrågan på. |
| {resourceGroupName} | namnet på resursgruppen som du tillämpar jaktfrågan på. |
| {savedSearchId} | ett unikt ID (GUID) för varje jaktfråga. |
| {WorkspaceName} | namnet på Log Analytics-arbetsytan som är målet för frågan. |
| {DisplayName} | ett visningsnamn för frågan. |
| {Beskrivning} | en beskrivning av jaktfrågan. |
| {Taktik} | relevant MITRE ATT-&CK-taktik som gäller för frågan. |
| {Fråga} | frågeuttrycket för din fråga. |
Exempel 1
Det här exemplet visar hur du skapar eller uppdaterar en jaktfråga för en viss Microsoft Sentinel arbetsyta.
Begärandehuvud
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Frågebrödtext
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Exempel 2
Det här exemplet visar hur du tar bort en jaktfråga för en viss Microsoft Sentinel arbetsyta:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Exempel 3
Det här exemplet visar hur du hämtar en jaktfråga för en viss arbetsyta:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Nästa steg
I den här artikeln har du lärt dig hur du hanterar jaktfrågor i Microsoft Sentinel med hjälp av Log Analytics-API:et. Mer information om Microsoft Sentinel finns i följande artiklar: