Detekce hrozeb pomocí živého streamu proaktivního vyhledávání v Microsoft Sentinelu
Pomocí živého streamu proaktivního vyhledávání můžete vytvářet interaktivní relace, které umožňují testovat nově vytvořené dotazy při výskytu událostí, dostávat oznámení z relací, když se najde shoda, a v případě potřeby zahájit šetření. Relaci živého streamu můžete rychle vytvořit pomocí libovolného dotazu Log Analytics.
Důležité
Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Vytvoření relace živého streamu
Relaci živého streamu můžete vytvořit z existujícího dotazu proaktivního vyhledávání nebo vytvořit relaci úplně od začátku.
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.Vytvoření živé relace živého streamu z dotazu proaktivního vyhledávání:
- Na kartě Dotazy vyhledejte dotaz proaktivního vyhledávání, který chcete použít.
- Klikněte pravým tlačítkem myši na dotaz a vyberte Přidat do živého streamu. Příklad:
Vytvoření živé relace od nuly:
- Vyberte kartu Livestream.
- Vyberte + Nový živý stream.
V podokně Livestream:
- Pokud jste spustili živý stream z dotazu, zkontrolujte dotaz a proveďte všechny změny, které chcete provést.
- Pokud jste živé streamy spustili úplně od začátku, vytvořte svůj dotaz.
Livestream podporuje dotazy mezi prostředky dat v Azure Data Exploreru. Přečtěte si další informace o dotazech napříč prostředky.
Na panelu příkazů vyberte Přehrát .
Stavový řádek pod panelem příkazů označuje, jestli je relace živého streamu spuštěná nebo pozastavená. V následujícím příkladu je relace spuštěná:
Na panelu příkazů vyberte Uložit.
Pokud nevyberete možnost Pozastavit, relace se bude spouštět, dokud se neodhlásíte z webu Azure Portal.
Zobrazení relací živého streamu
Najděte relace živého streamu na kartě Proaktivní>živé vysílání.
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.Vyberte kartu Livestream.
Vyberte relaci živého streamu, kterou chcete zobrazit nebo upravit. Příklad:
Vybraná relace živého streamu se otevře, abyste mohli přehrávat, pozastavit, upravit atd.
Příjem oznámení při výskytu nových událostí
Oznámení živého streamu pro nové události se zobrazí s oznámeními na portálu Azure nebo Defender. Příklad:
- Na portálu Azure nebo Defender přejděte na oznámení na pravé horní straně stránky portálu.
- Výběrem oznámení otevřete podokno Živého streamu.
Zvýšení úrovně relace živého streamu na výstrahu
Zvýšení úrovně relace živého streamu na novou výstrahu výběrem možnosti Zvýšit úroveň na výstrahu z panelu příkazů v příslušné relaci živého streamu:
Tato akce otevře průvodce vytvořením pravidla, který je předem vyplněný dotazem přidruženým k relaci živého streamu.
Další kroky
V tomto článku jste se dozvěděli, jak používat živý stream proaktivního vyhledávání v Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích:
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro