Dela via

Identifiera hot med hjälp av jakt-livestream i Microsoft Sentinel

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Använd jakt-livestream för att skapa interaktiva sessioner som låter dig testa nyligen skapade frågor när händelser inträffar, få meddelanden från sessionerna när en matchning hittas och starta undersökningar om det behövs. Du kan snabbt skapa en livestream-session med hjälp av en Log Analytics-fråga.

Viktigt!

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Skapa en livestream-session

Du kan skapa en livestream-session från en befintlig jaktfråga eller skapa din session från grunden.

  1. För Microsoft Sentinel i Azure Portal väljer du Jakt under Hothantering.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Hothantering>>Jakt.

  2. Så här skapar du en livestream-session från en jaktfråga:

    1. Leta upp den jaktfråga som ska användas på fliken Frågor .
    2. Högerklicka på frågan och välj Lägg till i livestream. Till exempel:

    skapa Livestream-session från Microsoft Sentinel-jaktfråga

  3. Så här skapar du en livestream-session från grunden:

    1. Välj fliken Livestream .
    2. Välj + Ny livestream.

  4. I livestream-fönstret:

    • Om du har startat livestream från en fråga granskar du frågan och gör eventuella ändringar som du vill göra.
    • Om du har startat livestreamen från grunden skapar du din fråga.

    Livestream stöder datafrågor mellan resurser i Azure Data Explorer. Läs mer om frågor mellan resurser.

  5. Välj Spela upp i kommandofältet.

    Statusfältet under kommandofältet anger om livestream-sessionen körs eller har pausats. I följande exempel körs sessionen:

    skapa livestream-session från Microsoft Sentinel-jakt

  6. Välj Spara i kommandofältet.

    Om du inte väljer Pausa fortsätter sessionen att köras tills du har loggat ut från Azure Portal.

Visa dina livestream-sessioner

Hitta dina livestream-sessioner på fliken Jakt>livestream.

  1. För Microsoft Sentinel i Azure Portal väljer du Jakt under Hothantering.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Hothantering>>Jakt.

  2. Välj fliken Livestream .

  3. Välj den livestream-session som du vill visa eller redigera. Till exempel:

    skapa livestream-session från Microsoft Sentinel-jaktfråga

    Den valda livestreamsessionen öppnas så att du kan spela upp, pausa, redigera och så vidare.

Ta emot meddelanden när nya händelser inträffar

Livestream-meddelanden för nya händelser visas med Azure- eller Defender-portalmeddelanden. Till exempel:

Azure Portal meddelande för livestream

  1. I Azure- eller Defender-portalen går du till meddelandena längst upp till höger på portalsidan.
  2. Välj meddelandet för att öppna livestream-fönstret .

Höja en livestream-session till en avisering

Höj upp en livestream-session till en ny avisering genom att välja Höj för att avisera från kommandofältet i relevant livestream-session:

Höja livestream-sessionen till en avisering

Den här åtgärden öppnar guiden för att skapa regler, som är förifyllda med frågan som är associerad med livestream-sessionen.

Nästa steg

I den här artikeln har du lärt dig hur du använder jakt-livestream i Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar: