Compartir a través de


Detección de amenazas mediante la búsqueda en directo en Microsoft Sentinel

Use el streaming en vivo de búsqueda para crear sesiones interactivas que permitan probar las consultas recién creadas a medida que se produzcan eventos, recibir notificaciones de las sesiones cuando se encuentre una coincidencia e iniciar investigaciones si es necesario. Puede crear rápidamente una sesión de streaming en vivo mediante cualquier consulta de Log Analytics.

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Defender sin Microsoft Defender XDR o una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Creación de una sesión de streaming en vivo

Puede crear una sesión de streaming en vivo a partir de una consulta de búsqueda existente o crear la sesión desde cero.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.

  2. Para crear una sesión de streaming en vivo a partir de una consulta de búsqueda:

    1. En la pestaña Consultas, busque la consulta de búsqueda que se va a usar.
    2. Haga clic con el botón secundario en la consulta y seleccione Agregar a streaming en vivo. Por ejemplo:

    Creación de una sesión de Live Stream desde una consulta de búsqueda de Microsoft Sentinel

  3. Para crear una sesión de streaming en vivo desde cero:

    1. Seleccione la pestaña Transmisión en directo.
    2. Haga clic en + Nueva transmisión en directo.
  4. En el panel de Streaming en vivo:

    • Si inició streaming en vivo desde una consulta, revise la consulta y realice los cambios que desee realizar.
    • Si inició streaming en vivo desde cero, cree la consulta.

    Live Stream admite consultas entre recursos de datos en Azure Data Explorer. Obtenga más información sobre las consultas entre recursos.

  5. En la barra de comandos, seleccione Reproducir.

    La barra de estado de la barra de comandos indica si la sesión de streaming en vivo está en ejecución o en pausa. En el ejemplo siguiente, la sesión se está ejecutando:

    Creación de una sesión de Live Stream desde una búsqueda de Microsoft Sentinel

  6. En la barra de comandos, seleccione Guardar.

    A menos que seleccione Pausar, la sesión continuará ejecutándose hasta que salga del Azure portal.

Visualización de las sesiones de streaming en vivo

Encuentre sus sesiones livestream en la pestaña Hunting>Livestream.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.

  2. Seleccione la pestaña Transmisión en directo.

  3. Seleccione la sesión de streaming en vivo que desea ver o editar. Por ejemplo:

    Creación de una sesión de Live Stream desde una consulta de búsqueda de Microsoft Sentinel

    Se abre la sesión de streaming en vivo seleccionada para que pueda reproducirla, pausarla, editarla, etc.

Recibir notificaciones cuando se produzcan nuevos eventos

Las notificaciones de streaming en vivo para los nuevos eventos aparecen con las notificaciones del portal de Azure o Defender. Por ejemplo:

Notificación de Azure Portal para el streaming en vivo

  1. En el portal de Azure o Defender, vaya a las notificaciones en la parte superior derecha de la página del portal.
  2. Seleccione la notificación para abrir el panel de Streaming en vivo.

Elevar una sesión de streaming en vivo a una alerta

Promueva una sesión de transmisión en directo a una nueva alerta seleccionando Elevar a alerta en la barra de comandos de la sesión de transmisión en directo correspondiente:

Elevar la sesión de Live Stream a una alerta

Esta acción abre el asistente para crear reglas, que se rellena previamente con la consulta que está asociada a la sesión de streaming en vivo.

Pasos siguientes

En este artículo, aprendió cómo ejecutar un streaming en vivo de búsqueda en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: