Observar ameaças ao longo do tempo com a transmissão em direto
Você pode usar a transmissão ao vivo de caça para testar consultas em eventos ao vivo à medida que eles ocorrem. O Livestream fornece sessões interativas que podem notificá-lo quando o Microsoft Sentinel encontrar eventos correspondentes para sua consulta.
Uma transmissão em direto é sempre baseada numa consulta. Normalmente, você usa a consulta para restringir eventos de log de streaming, para que apenas os eventos relacionados aos seus esforços de caça a ameaças apareçam. Pode utilizar a transmissão em direto para:
- Testar novas consultas relativamente a eventos em direto.
- Gerar notificações para ameaças.
- Iniciar investigações.
As consultas de transmissão em direto atualizam-se a cada 30 segundos e geram notificações do Azure quando existem novos resultados da consulta.
Criar uma transmissão em direto
Para criar uma transmissão ao vivo a partir da página Caça no Microsoft Sentinel, selecione a guia Livestream e, em seguida, selecione Nova transmissão ao vivo na barra de ferramentas.
Nota
As consultas de transmissão ao vivo são executadas continuamente em seu ambiente ao vivo, portanto, você não pode usar parâmetros de tempo em uma consulta de transmissão ao vivo.
Ver uma transmissão em direto
Na nova página Livestream , especifique um nome para a sessão de transmissão ao vivo e a consulta que fornece resultados para a sessão. As notificações para eventos de transmissão ao vivo aparecem em suas notificações do portal do Azure.
Gerir uma transmissão em direto
Pode reproduzir a transmissão em direto para rever os resultados ou guardar a transmissão em direto para consultar mais tarde. As sessões de transmissão ao vivo salvas podem ser visualizadas na guia Livestream na página Caça. Também pode elevar eventos a partir de uma sessão de transmissão em direto para um alerta ao selecionar os eventos e, em seguida, selecionar Elevar para alerta na barra de comandos.
Você pode usar uma transmissão ao vivo para controlar atividades de linha de base para exclusão de recursos do Azure e identificar outros recursos do Azure que devem ser rastreados. Por exemplo, a consulta a seguir retorna todos os eventos da Atividade do Azure que registraram um recurso excluído:
AzureActivity
| where OperationName has 'delete'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
Utilizar uma consulta de transmissão em direto para criar uma regra de análise
Se a consulta retornar resultados significativos, você poderá selecionar Criar regra de análise na barra de comandos para criar uma regra de análise com base na consulta. Depois que a regra refina a consulta para identificar os recursos específicos, ela pode gerar alertas ou incidentes quando os recursos são excluídos.
Escolha a melhor resposta para a pergunta a seguir.