Freigeben über

Erkennen von Bedrohungen mithilfe des Livestreams für die Suche in Microsoft Sentinel

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Verwenden Sie den Hunting-Livestream, um interaktive Sitzungen zu erstellen, mit denen Sie neu erstellte Abfragen beim Eintreten von Ereignissen testen, Benachrichtigungen von den Sitzungen bei einer Übereinstimmung erhalten und bei Bedarf Untersuchungen starten können. Sie können schnell mithilfe einer beliebigen Log Analytics-Abfrage eine Livestreamsitzung erstellen.

Hinweis

Dieser Artikel befasst sich mit der Suche in Microsoft Sentinel, die auch in Defender vorhanden ist. Informationen zur erweiterten Suche in Microsoft Defender finden Sie unter Proaktive Suche nach Bedrohungen mit erweiterter Suche in Microsoft Defender.

Wichtig

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.

Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.

Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".

Erstellen einer Livestreamsitzung

Sie können eine Livestreamsitzung aus einer vorhandenen Hunting-Abfrage erstellen oder eine Sitzung von Grund auf neu erstellen.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Hunting aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus. Stellen Sie sicher, dass Sie "Suche" und nicht " Erweiterte Suche" auswählen.

  2. So erstellen Sie eine Livestreamsitzung aus einer Hunting-Abfrage

    1. Ermitteln Sie auf der Registerkarte Abfragen die zu verwendende Hunting-Abfrage.
    2. Klicken Sie mit der rechten Maustaste auf die Abfrage, und wählen Sie Add to livestream (Zu Livestream hinzufügen) aus. Zum Beispiel:

    Erstellen einer Livestreamsitzung von einer Microsoft Sentinel-Huntingabfrage aus

  3. So erstellen Sie eine Livestreamsitzung von Grund auf neu

    1. Wählen Sie die Registerkarte Livestream aus.
    2. Wählen Sie + Neuer Livestream.

  4. Im Bereich Livestream:

    • Wenn Sie den Livestream aus einer Abfrage gestartet haben, überprüfen Sie die Abfrage, und nehmen Sie die gewünschten Änderungen vor.
    • Wenn Sie den Livestream von Grund auf neu gestartet haben, erstellen Sie Ihre Abfrage.

    Der Livestream unterstützt ressourcenübergreifende Abfragen von Daten in Azure Data Explorer. Lesen Sie den Artikel zu übergreifenden Abfragen von Log Analytics- oder Application Insights-Ressourcen und Azure Data Explorer.

  5. Wählen Sie in der Befehlsleiste Wiedergeben aus.

    Die Statusleiste unter der Befehlsleiste gibt an, ob die Livestreamsitzung ausgeführt wird oder angehalten ist. Im folgenden Beispiel wird die Sitzung ausgeführt:

    Erstellen einer Livestreamsitzung von Microsoft Sentinel-Hunting aus

  6. Wählen Sie in der Befehlsleiste Speichern aus.

    Wenn Sie nicht Anhalten auswählen, wird die Sitzung fortgesetzt, bis Sie sich vom Azure-Portal abgemeldet haben.

Anzeigen von Livestreamsitzungen

Suchen Sie Ihre Livestreamsitzungen auf der Registerkarte Hunting>Livestream.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Hunting aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.

  2. Wählen Sie die Registerkarte Livestream aus.

  3. Wählen Sie die Livestreamsitzung aus, die Sie anzeigen oder bearbeiten möchten. Zum Beispiel:

    Erstellen einer Livestreamsitzung von einer Microsoft Sentinel-Hunting-Abfrage aus

    Ihre ausgewählte Livestreamsitzung wird geöffnet, damit Sie sie wiedergeben, anhalten, bearbeiten usw. können.

Empfangen von Benachrichtigungen, wenn neue Ereignisse auftreten

Livestreambenachrichtigungen für neue Ereignisse werden mit den Azure- oder Defender-Portalbenachrichtigungen angezeigt. Zum Beispiel:

Benachrichtigung des Azure-Portals für Livestreams

  1. Navigieren Sie im Azure- oder Defender-Portal zu den Benachrichtigungen auf der oberen rechten Seite der Portalseite.
  2. Wählen Sie die Benachrichtigung aus, um den Bereich Livestream zu öffnen.

Erhöhen einer Livestreamsitzung zu einer Warnung

Sie können eine Livestreamsitzung in eine neue Warnung höher stufen, indem Sie auf der Befehlsleiste der relevanten Livestreamsitzung Auf Warnung erhöhen auswählen:

Höherstufen einer Livestreamsitzung in eine Warnung

Mit dieser Aktion wird der Regelerstellungs-Assistent geöffnet, der mit der Abfrage, die der Livestreamsitzung zugeordnet ist, bereits aufgefüllt ist.

Nächste Schritte

In diesem Artikel haben Sie gelernt, wie der Hunting-Livestream in Microsoft Sentinel verwendet wird. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: