使用即時串流觀察一段時間內的威脅
您可使用搜捕即時串流,在發生即時活動時,針對該活動測試查詢。 即時串流提供互動式工作階段,可在 Microsoft Sentinel 找到與查詢相符的事件時通知您。
即時串流一律是以查詢為基礎。 一般而言,您會使用查詢來縮小串流記錄事件的範圍,因此只會出現與所執行威脅搜捕相關的事件。 您可使用即時串流來執行下列動作:
- 針對即時活動測試新的查詢。
- 產生威脅的通知。
- 啟動調查。
即時串流查詢每 30 秒便會重新整理一次,並針對查詢的所有新結果產生 Azure 通知。
建立即時串流
若要從 Microsoft Sentinel 中的 [搜捕] 頁面建立即時串流,請選取 [即時串流] 索引標籤,然後從工具列中選取 [新增即時資料流]。
注意
因為即時串流查詢會在即時環境中持續執行,所以您無法在即時串流查詢中使用時間參數。
檢視即時串流
在新的 [即時串流] 頁面上,指定即時串流工作階段的名稱,以及將為工作階段提供結果的查詢。 即時串流活動的通知將會出現在 Azure 入口網站通知中。
管理即時串流
您可播放即時串流來檢閱結果,或儲存該即時串流以供日後參考。 您可從 [搜捕] 頁面上的 [即時串流] 索引標籤中,檢視已儲存的即時串流工作階段。 您也可以選取事件,然後從命令列選取 [提升為警示],將事件從即時串流工作階段提升為警示。
您可以使用即時串流來追蹤刪除 Azure 資源的基準活動,並找出其他應該追蹤的 Azure 資源。 例如,下列查詢會傳回記錄已刪除資源的任何 Azure 活動事件:
AzureActivity
| where OperationName has 'delete'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
使用即時串流查詢來建立分析規則
如果查詢傳回重要的結果,您可從命令列選取 [建立分析規則],以根據該查詢建立分析規則。 縮小查詢範圍並找出特定資源之後,此規則便能在刪除資源時產生警示或事件。
針對下列問題選擇最適合的答案。