Отслеживание угроз во времени с помощью прямой трансляции

Завершено

Поисковую прямую трансляцию можно использовать для проверки запросов на событиях в реальном времени по мере их возникновения. Динамическая передача создает интерактивные сеансы, в ходе которых вы получаете уведомления в Microsoft Sentinel о найденных событиях, соответствующих вашему запросу.

Прямая трансляция всегда основывается на запросе. Как правило, запрос используется для сужения прямой трансляции событий журнала таким образом, чтобы были представлены только события, связанные с работой по поиску угроз. Прямую трансляцию можно использовать для выполнения следующих задач:

• проверка новых запросов на событиях в реальном времени;
• создание уведомлений для угроз;
• начало расследования.

Запросы прямой трансляции обновляются каждые 30 секунд и создают уведомления Azure обо всех новых результатах запроса.

Создание прямой трансляции

Чтобы создать динамический поток, на странице Охота в Microsoft Sentinel перейдите на вкладку Динамическая передача, а затем на панели инструментов нажмите Создать динамический поток.

Примечание.

Запросы прямой трансляции выполняются непрерывно в реальной среде, поэтому в них нельзя использовать параметры времени.

Просмотр прямой трансляции

На новой странице livestream укажите имя сеанса трансляции и запрос, предоставляющий результаты для сеанса. Уведомления о событиях трансляции отображаются в портал Azure уведомлениях.

Управление прямой трансляцией

Вы можете воспроизвести прямую трансляцию, чтобы просмотреть результаты, или сохранить ее для дальнейшего использования. Сохраненные прямые трансляции можно просмотреть на вкладке Прямая трансляция на странице Охота. Кроме того, можно повысить уровень событий сеанса трансляции до предупреждения, выбрав события и нажав Повысить уровень до предупреждения на панели команд.

Вы можете использовать потоковую трансляцию для отслеживания базовых действий по удалению ресурсов Azure и выявлению других ресурсов Azure, которые следует отслеживать. Например, следующий запрос возвращает все события активности Azure, записывающие удаленный ресурс:

  AzureActivity
  | where OperationName has 'delete'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

Использование запроса прямой трансляции для создания правила аналитики

Если запрос возвращает значимые результаты, можно выбрать Создать правило аналитики на панели команд, чтобы создать правило аналитики на основе запроса. После уточнения запроса для обнаружения конкретных ресурсов это правило может создавать предупреждения или инциденты при удалении ресурсов.

Выберите лучший ответ на каждый из приведенных ниже вопросов.

Проверьте свои знания

1.

Что из нижеперечисленного нельзя использовать в запросе прямой трансляции?

Параметры времени

Параметры данных предупреждений

Сущности событий

Вы должны ответить на все вопросы перед проверкой.