通过 Livestream 观察随时间推移的威胁情况
可以使用搜寻 Livestream 来测试对实时事件(发生时)的查询。 Livestream 提供了可在 Microsoft Sentinel 找到查询的匹配事件时发送通知的交互式会话。
Livestream 始终基于查询。 通常,查询用于缩小流式处理日志事件的范围,因此只会显示与搜寻的威胁相关的事件。 可以使用 Livestream 来执行以下操作:
- 测试对实时事件的新查询。
- 生成有关威胁的通知。
- 启动调查。
Livestream 查询每隔 30 秒刷新一次,并生成有关新的查询结果(如有)的 Azure 通知。
创建 Livestream
若要通过 Microsoft Sentinel 的“搜寻”页面创建 Livestream,请选择“Livestream”选项卡,然后从工具栏中选择“新 Livestream”。
注意
Livestream 查询针对实时环境持续运行,因此不能在 Livestream 查询中使用时间参数。
查看 Livestream
在新的“Livestream”页上,为 Livestream 会话以及为该会话提供结果的查询指定一个名称。 Livestream 事件的通知显示在 Azure 门户通知中。
管理 Livestream
可以播放 Livestream 以查看结果或保存 Livestream 以供日后参考。 可以在“搜寻”页上的“Livestream”选项卡中查看已保存的 Livestream 会话。 还可以通过选中事件并在命令栏中选择“提升为警报”,将事件从 Livestream 会话提升为警报。
可以使用 Livestream 跟踪与 Azure 资源删除相关的基线活动,并识别应跟踪的其他 Azure 资源。 例如,以下查询会返回记录有删除的资源的任何 Azure 活动事件:
AzureActivity
| where OperationName has 'delete'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
使用 Livestream 查询创建分析规则
如果查询返回大量结果,可以从命令栏中选择“创建分析规则”,根据查询创建分析规则。 在规则为标识特定资源而细化查询后,此规则可以在删除资源时生成警报或事件。
为以下问题选择最佳答案。