Verwalten von Hunting- und Livestream-Abfragen in Microsoft Sentinel mithilfe der REST-API
Mit Microsoft Sentinel, das teilweise auf Azure Monitor Log Analytics basiert, können Sie die REST-API von Log Analytics nutzen, um Hunting- und Livestream-Abfragen zu verwalten. Dieses Dokument zeigt, wie Sie Huntingabfragen über die REST-API erstellen und verwalten. Auf diese Weise erstellte Abfragen werden auf der Microsoft Sentinel-Benutzeroberfläche angezeigt.
Weitere Informationen zur API für gespeicherte Suchvorgänge finden Sie in der endgültigen REST-API-Referenz.
API-Beispiele
Ersetzen Sie in den folgenden Beispielen die jeweiligen Platzhalter durch die in der nachstehenden Tabelle angegebenen Werte:
| Platzhalter | Ersetzen durch |
|---|---|
| {subscriptionId} | Name des Abonnements, auf die Sie die Hunting- oder Livestreamabfrage anwenden |
| {resourceGroupName} | Name der Ressourcengruppe, auf die Sie die Hunting- oder Livestreamabfrage anwenden |
| {savedSearchId} | Eindeutiger Bezeichner (GUID) für jede Huntingabfrage |
| {WorkspaceName} | Name des Log Analytics-Arbeitsbereichs, der Ziel der Abfrage ist |
| {DisplayName} | Anzeigename Ihrer Wahl für die Abfrage |
| {Description} | Beschreibung der Hunting- oder Livestreamabfrage |
| {Tactics} | Relevante MITRE ATT&CK-Taktiken, die für die Abfrage gelten |
| {Query} | Abfrageausdruck für Ihre Abfrage |
Beispiel 1
In diesem Beispiel wird gezeigt, wie Sie eine Hunting-Abfrage für einen bestimmten Microsoft Sentinel-Arbeitsbereich erstellen oder aktualisieren. Bei einer Livestreamabfrage ersetzen Sie “Category”: “Hunting Queries” durch “Category”: “Livestream Queries” im Anforderungstext:
Anforderungsheader
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Anforderungstext
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
Beispiel 2
In diesem Beispiel wird gezeigt, wie Sie eine Hunting- oder Livestream-Abfrage für einen bestimmten Microsoft Sentinel-Arbeitsbereich löschen:
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Beispiel 3
Dieses Beispiel zeigt, wie Sie eine Hunting- oder Livestreamabfrage für einen bestimmten Arbeitsbereich abrufen:
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Hunting- und Livestream-Abfragen in Microsoft Sentinel mithilfe der Log Analytics-API verwalten. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: