Obserwowanie zagrożeń w czasie za pomocą transmisji strumieniowej na żywo
Możesz użyć transmisji strumieniowej wyszukiwania zagrożeń na żywo do testowania zapytań dotyczących wydarzeń na żywo w miarę ich występowania. Transmisja strumieniowa na żywo udostępnia interaktywne sesje, które mogą powiadamiać o znalezieniu pasujących zdarzeń zapytania przez usługę Microsoft Sentinel.
Transmisja strumieniowa na żywo jest zawsze oparta na zapytaniu. Zazwyczaj zapytanie służy do zawężania zdarzeń dziennika przesyłania strumieniowego, więc pojawiają się tylko zdarzenia związane z działaniami wyszukiwania zagrożeń. Transmisja strumieniowa na żywo zapewnia następujące możliwości:
- Testowanie nowych zapytań względem zdarzeń na żywo.
- Generowanie powiadomień dla zagrożeń.
- Uruchamianie badań.
Zapytania transmisji strumieniowej na żywo są odświeżane co 30 sekund i generują powiadomienia platformy Azure o wszelkich nowych wynikach zapytania.
Tworzenie transmisji strumieniowej na żywo
Aby utworzyć transmisję strumieniową na żywo na stronie Wyszukiwanie zagrożeń w usłudze Microsoft Sentinel, wybierz kartę Transmisja strumieniowa na żywo, a następnie wybierz pozycję Nowy transmisja strumieniowa na żywo na pasku narzędzi.
Uwaga
Zapytania transmisji strumieniowej na żywo są stale uruchamiane w środowisku na żywo, więc nie można używać parametrów czasu w zapytaniu transmisji strumieniowej na żywo.
Wyświetlanie transmisji strumieniowej na żywo
Na nowej stronie transmisji strumieniowej na żywo określ nazwę sesji transmisji strumieniowej na żywo i zapytanie, które dostarcza wyniki dla sesji. Powiadomienia dotyczące zdarzeń transmisji strumieniowej na żywo są wyświetlane w powiadomieniach w witrynie Azure Portal.
Zarządzanie transmisją strumieniową na żywo
Możesz odtworzyć transmisję strumieniową na żywo, aby przejrzeć wyniki lub zapisać transmisję do późniejszego użycia. Zapisane sesje transmisji strumieniowej na żywo można wyświetlić na karcie Transmisja strumieniowa na żywo na stronie Wyszukiwanie zagrożeń . Możesz również podnieść poziom zdarzeń z sesji transmisji strumieniowej na żywo do alertu, wybierając zdarzenia, a następnie wybierając pozycję Podnieś poziom do alertu na pasku poleceń.
Możesz użyć transmisji strumieniowej na żywo do śledzenia działań bazowych na potrzeby usuwania zasobów platformy Azure i identyfikowania innych zasobów platformy Azure, które powinny być śledzone. Na przykład następujące zapytanie zwraca wszystkie zdarzenia działania platformy Azure, które zarejestrowały usunięty zasób:
AzureActivity
| where OperationName has 'delete'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
Tworzenie reguły analizy przy użyciu zapytania transmisji strumieniowej na żywo
Jeśli zapytanie zwraca znaczące wyniki, możesz wybrać pozycję Utwórz regułę analizy na pasku poleceń, aby utworzyć regułę analizy na podstawie zapytania. Po uściśliniu zapytania w celu zidentyfikowania określonych zasobów może on generować alerty lub zdarzenia po usunięciu zasobów.
Wybierz najlepszą odpowiedź na następujące pytanie.