使用 REST API 在 Microsoft Sentinel 中管理搜寻和实时流查询
Microsoft Sentinel 部分在 Azure Monitor Log Analytics 上构建,支持你使用 Log Analytics 的 REST API 来管理搜寻和实时流查询。 本文档演示如何使用 REST API 创建和管理搜寻查询。 以这种方式创建的查询将显示在 Microsoft Sentinel UI 中。
有关保存的搜索 API 的详细信息,请参阅权威 REST API 参考。
API 示例
在下面的示例中,请将这些占位符替换为下表中规定的替换项:
| 占位符 | 替换为 |
|---|---|
| {subscriptionId} | 要应用搜寻或实时流查询的订阅的名称。 |
| {resourceGroupName} | 要应用搜寻或实时流查询的资源组的名称。 |
| {savedSearchId} | 每个搜寻查询 (GUID) 的唯一 id。 |
| {WorkspaceName} | 作为查询目标的 Log Analytics 工作区的名称。 |
| {DisplayName} | 所选择的查询的名称。 |
| {Description} | 搜寻或实时流查询的说明。 |
| {Tactics} | 应用于查询的相关 MITRE ATT&CK 技巧。 |
| {Query} | 查询的查询表达式。 |
示例 1
此示例演示如何创建或更新给定 Microsoft Sentinel 工作区的搜寻查询。 对于实时流查询,请将“Category”: “Hunting Queries”替换为“请求正文”中的“Category”: “Livestream Queries” :
请求标头
PUT https://management.chinacloudapi.cn/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
请求正文
{
"properties": {
"Category": "Hunting Queries",
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
"Tags": [
{
"Name": "Description",
"Value": "Test Hunting Query"
},
{
"Name": "Tactics",
"Value": "Execution, Discovery"
}
]
}
}
示例 2
此示例演示如何删除给定 Microsoft Sentinel 工作区的搜寻或实时流查询:
DELETE https://management.chinacloudapi.cn/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
示例 3
此示例演示如何检索给定工作区的搜寻或实时流查询:
GET https://management.chinacloudapi.cn/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
后续步骤
本文介绍了如何使用 Log Analytics API 在 Microsoft Sentinel 中管理搜寻和实时流查询。 若要详细了解 Microsoft Sentinel,请参阅以下文章: