Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pomocí živého streamu proaktivního vyhledávání můžete vytvářet interaktivní relace, které umožňují testovat nově vytvořené dotazy při výskytu událostí, dostávat oznámení z relací, když se najde shoda, a v případě potřeby zahájit šetření. Relaci živého streamu můžete rychle vytvořit pomocí libovolného dotazu Log Analytics.
Poznámka:
Tento článek se zabývá proaktivním vyhledáváním v Microsoft Sentinelu, který existuje také v programu Defender. Rozšířené proaktivní vyhledávání v programu Microsoft Defender najdete v tématu Proaktivní vyhledávání hrozeb s pokročilým vyhledáváním v programu Microsoft Defender.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu, včetně pro zákazníky bez licence Microsoft Defender XDR nebo E5.
Od července 2026 bude Microsoft Sentinel podporován pouze na portálu Defender a všichni zbývající zákazníci, kteří používají Azure Portal, se automaticky přesměrují.
Doporučujeme, aby všichni zákazníci, kteří používají Microsoft Sentinel v Azure, začali plánovat přechod na portál Defender pro úplné jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Plánování přechodu na portál Microsoft Defender pro všechny zákazníky Microsoft Sentinelu.
Vytvoření relace živého streamu
Relaci živého streamu můžete vytvořit z existujícího dotazu proaktivního vyhledávání nebo vytvořit relaci úplně od začátku.
Pro Microsoft Sentinel na Azure Portalu v části Správa hrozeb vyberte Hledání.
Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Správa hrozeb>Proaktivní vyhledávání. Ujistěte se, že jste vybrali proaktivní vyhledávání, a ne rozšířené proaktivní vyhledávání.Vytvoření živé relace živého streamu z dotazu proaktivního vyhledávání:
- Na kartě Dotazy vyhledejte dotaz proaktivního vyhledávání, který chcete použít.
- Klikněte pravým tlačítkem myši na dotaz a vyberte Přidat do živého streamu. Příklad:
Vytvoření živé relace od nuly:
- Vyberte kartu Livestream .
- Vyberte + Nový živý stream.
V podokně Livestream :
- Pokud jste spustili živý stream z dotazu, zkontrolujte dotaz a proveďte všechny změny, které chcete provést.
- Pokud jste živé streamy spustili úplně od začátku, vytvořte svůj dotaz.
Livestream podporuje dotazy napříč prostředky v Azure Data Exploreru. Přečtěte si další informace o dotazech napříč prostředky.
Na panelu příkazů vyberte Přehrát .
Stavový řádek pod panelem příkazů označuje, jestli je relace živého streamu spuštěná nebo pozastavená. V následujícím příkladu je relace spuštěná:
Na panelu příkazů vyberte Uložit .
Pokud nevyberete možnost Pozastavit, relace se bude spouštět, dokud se neodhlásíte z webu Azure Portal.
Zobrazení relací živého streamu
Najděte relace živého streamu na kartě Proaktivní>živé vysílání .
Pro Microsoft Sentinel na Azure Portalu v části Správa hrozeb vyberte Hledání.
Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Správa hrozeb>Proaktivní vyhledávání.Vyberte kartu Livestream .
Vyberte relaci živého streamu, kterou chcete zobrazit nebo upravit. Příklad:
Vybraná relace živého streamu se otevře, abyste mohli přehrávat, pozastavit, upravit atd.
Příjem oznámení při výskytu nových událostí
Oznámení živého streamu pro nové události se zobrazí s oznámeními na portálu Azure nebo Defender. Příklad:
- Na portálu Azure nebo Defender přejděte na oznámení na pravé horní straně stránky portálu.
- Výběrem oznámení otevřete podokno Živého streamu.
Zvýšení úrovně relace živého streamu na výstrahu
Povýšte relaci živého streamu na novou výstrahu výběrem Povýšit na výstrahu z panelu příkazů v příslušné relaci živého streamu.
Tato akce otevře průvodce vytvořením pravidla, který je předem vyplněný dotazem přidruženým k relaci živého streamu.
Další kroky
V tomto článku jste se dozvěděli, jak používat živý stream proaktivního vyhledávání v Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích: