Observación de amenazas a lo largo del tiempo con streaming en vivo
Puede usar el streaming en vivo de búsqueda para probar las consultas en eventos en directo mientras se producen. El streaming en vivo proporciona sesiones interactivas que pueden notificarle cuando Microsoft Sentinel detecta eventos coincidentes con la consulta.
Un streaming en vivo siempre se basa en una consulta. Normalmente, la consulta se usa para restringir los eventos de registro de streaming, de modo que solo se muestren los eventos relacionados con los esfuerzos de búsqueda de amenazas. Puede usar un streaming en vivo para:
- Probar nuevas consultas en eventos en directo.
- Generar notificaciones de las amenazas.
- Iniciar investigaciones.
Las consultas de streaming en vivo se actualizan cada 30 segundos y generan notificaciones de Azure de los nuevos resultados de la consulta.
Creación de un streaming en vivo
Para crear un streaming en vivo desde la página Búsqueda de Microsoft Sentinel, seleccione la pestaña Liive Stream y luego Nueva sesión de Live Stream en la barra de herramientas.
Nota:
Las consultas de streaming en vivo se ejecutan de forma continua en el entorno activo, por lo que no se pueden usar parámetros de tiempo en ellas.
Visualización de un streaming en vivo
En la página Nueva sesión de Live Stream, especifique un nombre para la sesión de streaming en vivo y la consulta que va a proporcionar los resultados de la sesión. Las notificaciones de los eventos de streaming en vivo aparecen en las notificaciones de Azure Portal.
Administración de un streaming en vivo
Puede reproducir el streaming en vivo para revisar los resultados o guardarlo para referencia futura. Las sesiones de streaming en vivo guardadas se pueden ver en la pestaña Live Stream de la página Búsqueda. También puede elevar eventos de una sesión de streaming en vivo a alerta si selecciona los eventos y luego Elevar a alerta en la barra de comandos.
Puede usar un streaming en vivo para realizar un seguimiento de las actividades de línea de base de eliminación de recursos de Azure e identificar otros recursos de Azure de los que se debe realizar un seguimiento. Por ejemplo, la siguiente consulta devuelve todos los eventos de Actividad de Azure que han registrado un recurso eliminado:
AzureActivity
| where OperationName has 'delete'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
Uso de una consulta de streaming en vivo para crear una regla analítica
Si la consulta devuelve resultados significativos, puede seleccionar Crear regla analítica en la barra de comandos para crear una regla analítica basada en la consulta. La regla, después de refinar la consulta para identificar los recursos específicos, puede generar alertas o incidentes cuando se eliminen recursos.
Elija la respuesta más adecuada para la siguiente pregunta.