KQL查詢MDE/MDO的API

Question

我正在研究一些有關用於高級威脅搜尋的 MDE/MDO-s API 功能。

我的問題是： KQL 是否可以查詢 MDE/MDO 的 API？

任何信息將不勝感激。

謝謝

目標：使用 KQL 來利用 MDE/MDO 的 API 尋找威脅。

Answer 1

您可以探索http_request (GET)和http_request_post (POST)插件以向您的 API 發送 HTTP 請求並將響應轉換為表格。

請注意，出於安全原因，它在默認情況下被禁用，我強烈建議您在嘗試之前非常仔細地閱讀文檔，因為插件允許查詢將數據和用戶的安全令牌發送到外部用戶指定的網絡端點。

以下是示例查詢示例以供參考：

http_request（獲取）：

 let Uri = "https://prices.azure.com/api/retail/prices?$filter=serviceName eq 'Azure Purview' and location eq 'EU West'"; evaluate http_request(Uri) | project ResponseBody.Items | mv-expand ResponseBody_Items | evaluate bag_unpack(ResponseBody_Items)

http_request_post (POST):

 let uri='https://example.com/node/js/on/eniac'; let headers=dynamic({'x-ms-correlation-vector':'abc.0.1.0', 'authorization':'bearer...Azure-AD-bearer-token-for-target-endpoint...'}); evaluate http_request_post(uri, headers)