你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Microsoft Sentinel 中使用搜寻实时流检测威胁

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用搜寻实时流创建交互式会话，以便在事件发生时测试新创建的查询、在找到匹配项时从会话中获取通知，并在必要时启动调查。 可使用任何 Log Analytics 查询快速创建实时流会话。

重要

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版，Microsoft Sentinel 在 Defender 门户中提供，无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

创建实时流会话

可从现有搜寻查询创建实时流会话，也可从头开始创建会话。

1. 对于 Azure 门户中的 Microsoft Sentinel，请在“威胁管理”下选择“搜寻”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“威胁管理”>“搜寻”。

2. 若要从搜寻查询中创建实时流会话：

   1. 从“查询”选项卡中，找到要使用的搜寻查询。
   2. 右键单击该查询，然后选择“添加到实时流”。 例如：

   

3. 若要从头开始创建实时流会话：

   1. 选择“实时流”选项卡。
   2. 选择“+ 新建实时流”。

4. 在“实时流”窗格中：

   • 如果从查询中启动实时流，请查看该查询并进行所需的更改。
   • 如果从头开始启动实时流，请创建查询。

   实时流支持在 Azure 数据资源管理器中跨资源查询数据。 详细了解跨资源查询。

5. 从命令栏中选择“播放”。

   命令栏下的状态栏指示实时流会话是正在运行还是已暂停。 在以下示例中，会话正在运行：

   

6. 从命令栏中选择“保存”。

   除非选择“暂停”，否则会话将继续运行，直到你从 Azure 门户注销为止。

查看实时流会话

在“搜寻”>“实时流””选项卡上查找实时流会话。

1. 对于 Azure 门户中的 Microsoft Sentinel，请在“威胁管理”下选择“搜寻”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“威胁管理”>“搜寻”。

2. 选择“实时流”选项卡。

3. 选择要查看或编辑的实时流会话。 例如：

   

   你选择的实时流会话将打开，供你执行播放、暂停和编辑等操作。

发生新事件时接收通知

新事件的实时流通知随 Azure 或 Defender 门户通知一起显示。 例如：

1. 在 Azure 或 Defender 门户中，转到门户页面右上角的通知。
2. 选择通知，打开“实时流”窗格。

将实时流会话提升为警报

在实时流会话上的命令栏中选择“提升为警报”，将相关实时流会话提升为新的警报：

此操作将打开规则创建向导，其中预填充了与实时流会话关联的查询。

后续步骤

本文介绍了如何在 Microsoft Sentinel 中使用搜寻实时流。 若要详细了解 Microsoft Sentinel，请参阅以下文章：

• 主动搜寻威胁
• 使用笔记本运行自动搜寻活动