Erkennen von Bedrohungen mithilfe des Livestreams für die Suche in Microsoft Sentinel
Verwenden Sie den Hunting-Livestream, um interaktive Sitzungen zu erstellen, mit denen Sie neu erstellte Abfragen beim Eintreten von Ereignissen testen, Benachrichtigungen von den Sitzungen bei einer Übereinstimmung erhalten und bei Bedarf Untersuchungen starten können. Sie können schnell mithilfe einer beliebigen Log Analytics-Abfrage eine Livestreamsitzung erstellen.
Wichtig
Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Sie können eine Livestreamsitzung aus einer vorhandenen Hunting-Abfrage erstellen oder eine Sitzung von Grund auf neu erstellen.
Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Hunting aus.
Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.So erstellen Sie eine Livestreamsitzung aus einer Hunting-Abfrage
- Ermitteln Sie auf der Registerkarte Abfragen die zu verwendende Hunting-Abfrage.
- Klicken Sie mit der rechten Maustaste auf die Abfrage, und wählen Sie Add to livestream (Zu Livestream hinzufügen) aus. Zum Beispiel:
So erstellen Sie eine Livestreamsitzung von Grund auf neu
- Wählen Sie die Registerkarte Livestream aus.
- Wählen Sie + Neuer Livestream.
Im Bereich Livestream:
- Wenn Sie den Livestream aus einer Abfrage gestartet haben, überprüfen Sie die Abfrage, und nehmen Sie die gewünschten Änderungen vor.
- Wenn Sie den Livestream von Grund auf neu gestartet haben, erstellen Sie Ihre Abfrage.
Der Livestream unterstützt ressourcenübergreifende Abfragen von Daten in Azure Data Explorer. Lesen Sie den Artikel zu übergreifenden Abfragen von Log Analytics- oder Application Insights-Ressourcen und Azure Data Explorer.
Wählen Sie in der Befehlsleiste Wiedergeben aus.
Die Statusleiste unter der Befehlsleiste gibt an, ob die Livestreamsitzung ausgeführt wird oder angehalten ist. Im folgenden Beispiel wird die Sitzung ausgeführt:
Wählen Sie in der Befehlsleiste Speichern aus.
Wenn Sie nicht Anhalten auswählen, wird die Sitzung fortgesetzt, bis Sie sich vom Azure-Portal abgemeldet haben.
Suchen Sie Ihre Livestreamsitzungen auf der Registerkarte Hunting>Livestream.
Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Hunting aus.
Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.Wählen Sie die Registerkarte Livestream aus.
Wählen Sie die Livestreamsitzung aus, die Sie anzeigen oder bearbeiten möchten. Zum Beispiel:
Ihre ausgewählte Livestreamsitzung wird geöffnet, damit Sie sie wiedergeben, anhalten, bearbeiten usw. können.
Livestreambenachrichtigungen für neue Ereignisse werden mit den Azure- oder Defender-Portalbenachrichtigungen angezeigt. Zum Beispiel:
- Navigieren Sie im Azure- oder Defender-Portal zu den Benachrichtigungen auf der oberen rechten Seite der Portalseite.
- Wählen Sie die Benachrichtigung aus, um den Bereich Livestream zu öffnen.
Sie können eine Livestreamsitzung in eine neue Warnung höher stufen, indem Sie auf der Befehlsleiste der relevanten Livestreamsitzung Auf Warnung erhöhen auswählen:
Mit dieser Aktion wird der Regelerstellungs-Assistent geöffnet, der mit der Abfrage, die der Livestreamsitzung zugeordnet ist, bereits aufgefüllt ist.
In diesem Artikel haben Sie gelernt, wie der Hunting-Livestream in Microsoft Sentinel verwendet wird. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: