Wykrywanie zagrożeń przy użyciu transmisji strumieniowej na żywo wyszukiwania zagrożeń w usłudze Microsoft Sentinel
Wyszukiwanie zagrożeń na żywo umożliwia tworzenie interakcyjnych sesji, które umożliwiają testowanie nowo utworzonych zapytań w miarę występowania zdarzeń, otrzymywanie powiadomień z sesji po znalezieniu dopasowania i uruchamianie badań w razie potrzeby. Możesz szybko utworzyć sesję transmisji strumieniowej na żywo przy użyciu dowolnego zapytania usługi Log Analytics.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Tworzenie sesji transmisji strumieniowej na żywo
Możesz utworzyć sesję transmisji strumieniowej na żywo na podstawie istniejącego zapytania wyszukiwania zagrożeń lub utworzyć sesję od podstaw.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie zagrożeń> w usłudze Microsoft Sentinel.>Aby utworzyć sesję transmisji strumieniowej na żywo na podstawie zapytania wyszukiwania zagrożeń:
- Na karcie Zapytania znajdź zapytanie wyszukiwania zagrożeń do użycia.
- Kliknij prawym przyciskiem myszy zapytanie i wybierz polecenie Dodaj do transmisji strumieniowej na żywo. Na przykład:
Aby utworzyć sesję transmisji strumieniowej na żywo od podstaw:
- Wybierz kartę Transmisja strumieniowa na żywo.
- Wybierz pozycję + Nowy transmisji strumieniowej na żywo.
W okienku Transmisji strumieniowej na żywo:
- Jeśli uruchomiono transmisję strumieniową na żywo z zapytania, przejrzyj zapytanie i wprowadź wszelkie zmiany, które chcesz wprowadzić.
- Jeśli rozpoczęto transmisję strumienia strumieniowego na żywo od podstaw, utwórz zapytanie.
Transmisja strumieniowa na żywo obsługuje zapytania między zasobami dotyczące danych w usłudze Azure Data Explorer. Dowiedz się więcej o zapytaniach między zasobami.
Wybierz pozycję Odtwórz na pasku poleceń.
Pasek stanu na pasku poleceń wskazuje, czy sesja transmisji strumieniowej na żywo jest uruchomiona, czy wstrzymana. W poniższym przykładzie sesja jest uruchomiona:
Na pasku poleceń wybierz opcję Zapisz.
Jeśli nie wybierzesz pozycji Wstrzymaj, sesja będzie kontynuowana do momentu wylogowania się z witryny Azure Portal.
Wyświetlanie sesji transmisji strumieniowej na żywo
Znajdź sesje transmisji strumieniowej na żywo na karcie Wyszukiwanie>transmisji strumieniowej na żywo.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie zagrożeń> w usłudze Microsoft Sentinel.>Wybierz kartę Transmisja strumieniowa na żywo.
Wybierz sesję transmisji strumieniowej na żywo, którą chcesz wyświetlić lub edytować. Na przykład:
Wybrana sesja transmisji strumieniowej na żywo zostanie otwarta, aby odtwarzać, wstrzymywać, edytować i tak dalej.
Odbieranie powiadomień o wystąpieniu nowych zdarzeń
Powiadomienia transmisji strumieniowej na żywo dotyczące nowych zdarzeń są wyświetlane z powiadomieniami w portalu Azure lub Defender. Na przykład:
- W witrynie Azure lub Defender Portal przejdź do powiadomień w prawej górnej części strony portalu.
- Wybierz powiadomienie, aby otworzyć okienko Transmisji strumieniowej na żywo.
Podnoszenie poziomu sesji transmisji strumieniowej na żywo do alertu
Podwyższ poziom sesji transmisji strumieniowej na żywo do nowego alertu, wybierając pozycję Podnieś poziom do alertu na pasku poleceń w odpowiedniej sesji transmisji strumieniowej na żywo:
Ta akcja powoduje otwarcie kreatora tworzenia reguły, który jest wstępnie wypełniony zapytaniem skojarzonym z sesją transmisji strumieniowej na żywo.
Następne kroki
W tym artykule przedstawiono sposób korzystania z transmisji strumieniowej na żywo wyszukiwania zagrożeń w usłudze Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: