Observera hot över tid med livestream

  • 5 minuter

Du kan använda jakt-livestreamen för att testa frågor mot livehändelser när de inträffar. Livestream tillhandahåller interaktiva sessioner som kan meddela dig när Microsoft Sentinel hittar matchande händelser för din fråga.

En livestream baseras alltid på en fråga. Vanligtvis använder du frågan för att begränsa strömmande logghändelser, så endast de händelser som är relaterade till dina hotjaktförsök visas. Du kan använda en livestream för att:

  • Testa nya frågor mot livehändelser.
  • Generera varningar om hot.
  • Starta undersökningar.

Livestream-frågor uppdateras var 30:e sekund och genererar Azure-aviseringar för nya resultat från frågan.

Skapa en livestream

Om du vill skapa en livestream från sidan Jakt i Microsoft Sentinel väljer du fliken Livestream och väljer sedan Ny livestream i verktygsfältet.

Kommentar

Livestream-frågor körs kontinuerligt mot din livemiljö, så du kan inte använda tidsparametrar i en livestream-fråga.

Skärmbild som visar sidan för att skapa livestreamar i Microsoft Sentinel.

Visa en livestream

På den nya Livestream-sidan anger du ett namn för livestream-sessionen och frågan som ger resultat för sessionen. Meddelanden om livestream-händelser visas i dina Azure Portal-meddelanden.

Hantera en liveström

Du kan spela upp en livestream för att granska resultaten eller spara livestream-sessionen för användning senare. Sparade livestream-sessioner kan visas från fliken Livestreamsidan Jakt . Du kan också höja händelser från en livestream-session till en avisering genom att välja händelserna och sedan välja Höj till avisering från kommandofältet.

Du kan använda en livestream för att spåra baslinjeaktiviteter för borttagning av Azure-resurser och identifiera andra Azure-resurser som ska spåras. Följande fråga returnerar till exempel alla Azure-aktivitetshändelser som registrerat en borttagen resurs:

  AzureActivity
  | where OperationName has 'delete'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

Använd en livestream-fråga för att skapa en analysregel

Om frågan returnerar betydande resultat kan du välja Skapa analysregel i kommandofältet för att skapa en analysregel baserat på frågan. När regeln förfinar frågan för att identifiera de specifika resurserna kan den generera aviseringar eller incidenter när resurserna tas bort.

Välj det bästa svaret för följande fråga.

Kontrollera dina kunskaper

1.

Vilket av följande kan inte användas i en livestream-fråga?