REST API を使用して Microsoft Azure Sentinel でのハンティングとライブストリームのクエリを管理する
Microsoft Azure Sentinel は、一部分が Azure Monitor Log Analytics 上に構築されており、Log Analytics の REST API を使用してハンティングとライブストリームのクエリを管理することができます。 このドキュメントでは、REST API を使用して、ハンティング クエリを作成および管理する方法について説明します。 この方法で作成されたクエリは、Microsoft Azure Sentinel UI に表示されます。
保存された検索 API の詳細については、最も信頼できる REST API リファレンスを参照してください。
API の例
次の例では、これらのプレースホルダーを、次の表に示す置換を使用して置き換えます。
プレースホルダー | 置換後の文字列 |
---|---|
{subscriptionId} | ハンティングまたはライブストリームのいずれかのクエリを適用するサブスクリプションの名前。 |
{resourceGroupName} | ハンティングまたはライブストリームのいずれかのクエリを適用するリソース グループの名前。 |
{savedSearchId} | 各ハンティング クエリの一意の ID (GUID)。 |
{WorkspaceName} | クエリの対象となる Log Analytics ワークスペースの名前。 |
{DisplayName} | クエリに対して選択した表示名。 |
{Description} | ハンティングまたはライブストリームのクエリの説明。 |
{Tactics} | クエリに適用される MITRE ATT&CK 関連する戦略。 |
{Query} | クエリのクエリ式。 |
例 1
この例では、特定の Microsoft Azure Sentinel ワークスペースに対してハンティング クエリを作成または更新する方法を示します。 ライブストリーム クエリの場合は、 "Category":"Hunting Queries" を "Category":"Livestream Queries" に要求本文で置き換えます。
要求ヘッダー
PUT https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
要求本文
{
"properties": {
“Category”: “Hunting Queries”,
"DisplayName": "HuntingRule02",
"Query": "SecurityEvent | where EventID == \"4688\" | where CommandLine contains \"-noni -ep bypass $\"",
“Tags”: [
{
“Name”: “Description”,
“Value”: “Test Hunting Query”
},
{
“Name”: “Tactics”,
“Value”: “Execution, Discovery”
}
]
}
}
例 2
この例では、特定の Microsoft Azure Sentinel ワークスペースに対してハンティングまたはライブストリームのクエリを削除する方法を示します。
DELETE https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
例 3
この例では、特定のワークスペースに対してハンティングまたはライブストリームのクエリを取得する方法を示します。
GET https://management.azure.com/subscriptions/{subscriptionId} _
/resourcegroups/{resourceGroupName} _
/providers/Microsoft.OperationalInsights/workspaces/{workspaceName} _
/savedSearches/{savedSearchId}?api-version=2020-03-01-preview
次のステップ
この記事では、Log Analytics API を使用して Microsoft Azure Sentinel でハンティングとライブストリームのクエリを管理する方法について学習しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。