Předchozí

Další

Pozorování hrozeb v čase pomocí živého streamu

Dokončeno

Živý stream proaktivního vyhledávání můžete použít k otestování dotazů na živé události, když k nim dojde. Livestream poskytuje interaktivní relace, které vás můžou upozornit, když Microsoft Sentinel najde odpovídající události pro váš dotaz.

Živý stream je vždy založen na určitém dotazu. Dotaz obvykle používáte ke zúžení událostí protokolu streamování, takže se zobrazí jenom události, které souvisejí s vaším úsilím proaktivního vyhledávání hrozeb. Živý stream můžete používat k těmto aktivitám:

• Testování nových dotazů na živých událostech.
• Generování oznámení pro hrozby.
• Zahajování prověřování.

Dotazy živého streamu se aktualizují každých 30 sekund a generují oznámení Azure pro všechny nové výsledky u daného dotazu.

Vytvoření živého streamu

Pokud chcete vytvořit živý stream ze stránky proaktivního vyhledávání v Microsoft Sentinelu, vyberte kartu Livestream a pak na panelu nástrojů vyberte Nový živý stream .

Poznámka:

Dotazy živého streamu běží nepřetržitě ve vašem živém prostředí, takže v dotazu živého streamu nemůžete použít časové parametry.

Zobrazení živého streamu

Na nové stránce Živého streamu zadejte název relace živého streamu a dotaz, který poskytuje výsledky relace. Oznámení o živých událostech se zobrazí na webu Azure Portal.

Správa živého streamu

Živý stream si můžete přehrát a podívat se na výsledky nebo můžete tento živý stream uložit pro pozdější referenci. Uložené živé relace se dají zobrazit na kartě Livestream na stránce Proaktivní vyhledávání . Události z relace živého streamu můžete také povýšit na upozornění tak, že tyto události vyberete a na panelu příkazů vyberete Poslat do upozornění.

Živý stream můžete použít ke sledování základních aktivit pro odstranění prostředků Azure a identifikaci dalších prostředků Azure, které by se měly sledovat. Následující dotaz například vrátí všechny události aktivit Azure, které zaznamenaly odstraněný prostředek:

  AzureActivity
  | where OperationName has 'delete'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

Vytvoření analytického pravidla pomocí dotazu živého streamu

Pokud dotaz vrátí významné výsledky, můžete na panelu příkazů vybrat vytvořit analytické pravidlo a vytvořit analytické pravidlo založené na dotazu. Jakmile pravidlo dotaz zpřesní a identifikuje konkrétní prostředky, může při odstranění prostředků generovat výstrahy nebo incidenty.

Zvolte nejlepší odpověď na následující otázku a pak vyberte Zkontrolovat odpovědi.

Prověřte si své znalosti

1.

Které z následujících možností nejde použít v dotazu livestreamu?

Parametry času

Parametry dat upozornění

Entity událostí

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.

Pokračovat