Sdílet prostřednictvím

Detekce hrozeb pomocí živého streamu proaktivního vyhledávání v Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Pomocí živého streamu proaktivního vyhledávání můžete vytvářet interaktivní relace, které umožňují testovat nově vytvořené dotazy při výskytu událostí, dostávat oznámení z relací, když se najde shoda, a v případě potřeby zahájit šetření. Relaci živého streamu můžete rychle vytvořit pomocí libovolného dotazu Log Analytics.

Důležité

Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Vytvoření relace živého streamu

Relaci živého streamu můžete vytvořit z existujícího dotazu proaktivního vyhledávání nebo vytvořit relaci úplně od začátku.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
    Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.

  2. Vytvoření živé relace živého streamu z dotazu proaktivního vyhledávání:

    1. Na kartě Dotazy vyhledejte dotaz proaktivního vyhledávání, který chcete použít.
    2. Klikněte pravým tlačítkem myši na dotaz a vyberte Přidat do živého streamu. Příklad:

    Vytvoření živé relace z dotazu proaktivního vyhledávání v Microsoft Sentinelu

  3. Vytvoření živé relace od nuly:

    1. Vyberte kartu Livestream.
    2. Vyberte + Nový živý stream.

  4. V podokně Livestream:

    • Pokud jste spustili živý stream z dotazu, zkontrolujte dotaz a proveďte všechny změny, které chcete provést.
    • Pokud jste živé streamy spustili úplně od začátku, vytvořte svůj dotaz.

    Livestream podporuje dotazy mezi prostředky dat v Azure Data Exploreru. Přečtěte si další informace o dotazech napříč prostředky.

  5. Na panelu příkazů vyberte Přehrát .

    Stavový řádek pod panelem příkazů označuje, jestli je relace živého streamu spuštěná nebo pozastavená. V následujícím příkladu je relace spuštěná:

    Vytvoření živé relace živého streamu z proaktivního vyhledávání v Microsoft Sentinelu

  6. Na panelu příkazů vyberte Uložit.

    Pokud nevyberete možnost Pozastavit, relace se bude spouštět, dokud se neodhlásíte z webu Azure Portal.

Zobrazení relací živého streamu

Najděte relace živého streamu na kartě Proaktivní>živé vysílání.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
    Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.

  2. Vyberte kartu Livestream.

  3. Vyberte relaci živého streamu, kterou chcete zobrazit nebo upravit. Příklad:

    vytvoření živé relace z dotazu proaktivního vyhledávání v Microsoft Sentinelu

    Vybraná relace živého streamu se otevře, abyste mohli přehrávat, pozastavit, upravit atd.

Příjem oznámení při výskytu nových událostí

Oznámení živého streamu pro nové události se zobrazí s oznámeními na portálu Azure nebo Defender. Příklad:

Oznámení webu Azure Portal pro živý stream

  1. Na portálu Azure nebo Defender přejděte na oznámení na pravé horní straně stránky portálu.
  2. Výběrem oznámení otevřete podokno Živého streamu.

Zvýšení úrovně relace živého streamu na výstrahu

Zvýšení úrovně relace živého streamu na novou výstrahu výběrem možnosti Zvýšit úroveň na výstrahu z panelu příkazů v příslušné relaci živého streamu:

Zvýšení úrovně živého streamu na výstrahu

Tato akce otevře průvodce vytvořením pravidla, který je předem vyplněný dotazem přidruženým k relaci živého streamu.

Další kroky

V tomto článku jste se dozvěděli, jak používat živý stream proaktivního vyhledávání v Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích: