你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Microsoft Sentinel 中使用搜寻实时流检测威胁

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用搜寻实时流创建交互式会话，以便在事件发生时测试新创建的查询、在找到匹配项时从会话中获取通知，并在必要时启动调查。 可使用任何 Log Analytics 查询快速创建实时流会话。

重要

Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

创建实时流会话

可从现有搜寻查询创建实时流会话，也可从头开始创建会话。

1. 对于 Azure 门户中的 Microsoft Sentinel，请在“威胁管理”下选择“搜寻”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“威胁管理”>“搜寻”。

2. 若要从搜寻查询中创建实时流会话：

   1. 从“查询”选项卡中，找到要使用的搜寻查询。
   2. 右键单击该查询，然后选择“添加到实时流”。 例如：

   

3. 若要从头开始创建实时流会话：

   1. 选择“实时流”选项卡。
   2. 选择“+ 新建实时流”。

4. 在“实时流”窗格中：

   • 如果从查询中启动实时流，请查看该查询并进行所需的更改。
   • 如果从头开始启动实时流，请创建查询。

   实时流支持在 Azure 数据资源管理器中跨资源查询数据。 详细了解跨资源查询。

5. 从命令栏中选择“播放”。

   命令栏下的状态栏指示实时流会话是正在运行还是已暂停。 在以下示例中，会话正在运行：

   

6. 从命令栏中选择“保存”。

   除非选择“暂停”，否则会话将继续运行，直到你从 Azure 门户注销为止。

查看实时流会话

在“搜寻”>“实时流””选项卡上查找实时流会话。

1. 对于 Azure 门户中的 Microsoft Sentinel，请在“威胁管理”下选择“搜寻”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“威胁管理”>“搜寻”。

2. 选择“实时流”选项卡。

3. 选择要查看或编辑的实时流会话。 例如：

   

   你选择的实时流会话将打开，供你执行播放、暂停和编辑等操作。

发生新事件时接收通知

新事件的实时流通知随 Azure 或 Defender 门户通知一起显示。 例如：

1. 在 Azure 或 Defender 门户中，转到门户页面右上角的通知。
2. 选择通知，打开“实时流”窗格。

将实时流会话提升为警报

在实时流会话上的命令栏中选择“提升为警报”，将相关实时流会话提升为新的警报：

此操作将打开规则创建向导，其中预填充了与实时流会话关联的查询。

后续步骤

本文介绍了如何在 Microsoft Sentinel 中使用搜寻实时流。 若要详细了解 Microsoft Sentinel，请参阅以下文章：

• 主动搜寻威胁
• 使用笔记本运行自动搜寻活动