Detekce hrozeb pomocí živého streamu proaktivního vyhledávání v Microsoft Sentinelu
Pomocí živého streamu proaktivního vyhledávání můžete vytvářet interaktivní relace, které umožňují testovat nově vytvořené dotazy při výskytu událostí, dostávat oznámení z relací, když se najde shoda, a v případě potřeby zahájit šetření. Relaci živého streamu můžete rychle vytvořit pomocí libovolného dotazu Log Analytics.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Vytvoření relace živého streamu
Relaci živého streamu můžete vytvořit z existujícího dotazu proaktivního vyhledávání nebo vytvořit relaci úplně od začátku.
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.Vytvoření živé relace živého streamu z dotazu proaktivního vyhledávání:
- Na kartě Dotazy vyhledejte dotaz proaktivního vyhledávání, který chcete použít.
- Klikněte pravým tlačítkem myši na dotaz a vyberte Přidat do živého streamu. Příklad:
Vytvoření živé relace od nuly:
- Vyberte kartu Livestream.
- Vyberte + Nový živý stream.
V podokně Livestream:
- Pokud jste spustili živý stream z dotazu, zkontrolujte dotaz a proveďte všechny změny, které chcete provést.
- Pokud jste živé streamy spustili úplně od začátku, vytvořte svůj dotaz.
Livestream podporuje dotazy mezi prostředky dat v Azure Data Exploreru. Přečtěte si další informace o dotazech napříč prostředky.
Na panelu příkazů vyberte Přehrát .
Stavový řádek pod panelem příkazů označuje, jestli je relace živého streamu spuštěná nebo pozastavená. V následujícím příkladu je relace spuštěná:
Na panelu příkazů vyberte Uložit.
Pokud nevyberete možnost Pozastavit, relace se bude spouštět, dokud se neodhlásíte z webu Azure Portal.
Zobrazení relací živého streamu
Najděte relace živého streamu na kartě Proaktivní>živé vysílání.
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.Vyberte kartu Livestream.
Vyberte relaci živého streamu, kterou chcete zobrazit nebo upravit. Příklad:
Vybraná relace živého streamu se otevře, abyste mohli přehrávat, pozastavit, upravit atd.
Příjem oznámení při výskytu nových událostí
Oznámení živého streamu pro nové události se zobrazí s oznámeními na portálu Azure nebo Defender. Příklad:
- Na portálu Azure nebo Defender přejděte na oznámení na pravé horní straně stránky portálu.
- Výběrem oznámení otevřete podokno Živého streamu.
Zvýšení úrovně relace živého streamu na výstrahu
Zvýšení úrovně relace živého streamu na novou výstrahu výběrem možnosti Zvýšit úroveň na výstrahu z panelu příkazů v příslušné relaci živého streamu:
Tato akce otevře průvodce vytvořením pravidla, který je předem vyplněný dotazem přidruženým k relaci živého streamu.
Další kroky
V tomto článku jste se dozvěděli, jak používat živý stream proaktivního vyhledávání v Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích: