使用 REST API 在 Microsoft Sentinel 中管理搜寻和实时流查询

Microsoft Sentinel 在 Azure Monitor Log Analytics 上构建，使你能够使用 Log Analytics 的 REST API 来管理搜寻和实时流查询。 本文档介绍如何使用 REST API 创建和管理搜寻查询。 以这种方式创建的查询将显示在Microsoft Sentinel UI 中。

有关 保存的搜索 API 的更多详细信息，请参阅明确的 REST API 参考。

API 示例

在以下示例中，将这些占位符替换为下表中规定的替换项：

示例 1

此示例演示如何为给定Microsoft Sentinel 工作区创建或更新搜寻查询。 对于实时流查询，请将“Category”：“搜寻查询”替换为请求正文中的“Category”：“Livestream 查询” ：

请求标头

PUT https://management.chinacloudapi.cn/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

请求主体

{
"properties": {
    "Category": "Hunting Queries",
    "DisplayName": "HuntingRule02",
    "Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
    "Tags": [
        { 
        "Name": "Description",
        "Value": "Test Hunting Query"
        },
        { 
        "Name": "Tactics",
        "Value": "Execution, Discovery"
        }
        ]        
    }
}

示例 2

此示例演示如何删除给定Microsoft Sentinel 工作区的搜寻或实时流查询：

DELETE https://management.chinacloudapi.cn/subscriptions/{subscriptionId} _
       /resourcegroups/{resourceGroupName} _
       /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
       /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

示例 3

此示例演示如何检索给定工作区的搜寻或实时流查询：

GET https://management.chinacloudapi.cn/subscriptions/{subscriptionId} _
    /resourcegroups/{resourceGroupName} _
    /providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
    /savedSearches/{savedSearchId}?api-version=2020-03-01-preview

后续步骤

本文介绍了如何使用 Log Analytics API 在 Microsoft Sentinel 中管理搜寻和实时流查询。 若要详细了解 Microsoft Sentinel，请参阅以下文章：

• 主动搜寻威胁
• 使用笔记本运行自动搜寻活动