Compartir a través de

Detección de amenazas mediante la búsqueda en directo en Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Use el streaming en vivo de búsqueda para crear sesiones interactivas que permitan probar las consultas recién creadas a medida que se produzcan eventos, recibir notificaciones de las sesiones cuando se encuentre una coincidencia e iniciar investigaciones si es necesario. Puede crear rápidamente una sesión de streaming en vivo mediante cualquier consulta de Log Analytics.

Nota:

Este artículo trata sobre la búsqueda en Microsoft Sentinel, que también existe en Defender. Para búsqueda avanzada en Microsoft Defender, consulte Búsqueda proactiva de amenazas con búsqueda avanzada en Microsoft Defender.

Importante

Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.

A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.

Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.

Creación de una sesión de streaming en vivo

Puede crear una sesión de streaming en vivo a partir de una consulta de búsqueda existente o crear la sesión desde cero.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda. Asegúrese de seleccionar Búsqueda y no Búsqueda avanzada.

  2. Para crear una sesión de streaming en vivo a partir de una consulta de búsqueda:

    1. En la pestaña Consultas, busque la consulta de búsqueda que se va a usar.
    2. Haga clic con el botón secundario en la consulta y seleccione Agregar a streaming en vivo. Por ejemplo:

    Creación de una sesión de Live Stream desde una consulta de búsqueda de Microsoft Sentinel

  3. Para crear una sesión de streaming en vivo desde cero:

    1. Seleccione la pestaña Transmisión en directo.
    2. Haga clic en + Nueva transmisión en directo.

  4. En el panel de Streaming en vivo:

    • Si inició streaming en vivo desde una consulta, revise la consulta y realice los cambios que desee realizar.
    • Si inició streaming en vivo desde cero, cree la consulta.

    Live Stream admite consultas entre recursos de datos en Azure Data Explorer. Obtenga más información sobre las consultas entre recursos.

  5. En la barra de comandos, seleccione Reproducir.

    La barra de estado de la barra de comandos indica si la sesión de streaming en vivo está en ejecución o en pausa. En el ejemplo siguiente, la sesión se está ejecutando:

    Creación de una sesión de Live Stream desde una búsqueda de Microsoft Sentinel

  6. En la barra de comandos, seleccione Guardar.

    A menos que seleccione Pausar, la sesión continuará ejecutándose hasta que salga del Azure portal.

Visualización de las sesiones de streaming en vivo

Encuentre sus sesiones livestream en la pestaña Hunting>Livestream.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.

  2. Seleccione la pestaña Transmisión en directo.

  3. Seleccione la sesión de streaming en vivo que desea ver o editar. Por ejemplo:

    Creación de una sesión de Live Stream desde una consulta de búsqueda de Microsoft Sentinel

    Se abre la sesión de streaming en vivo seleccionada para que pueda reproducirla, pausarla, editarla, etc.

Recibir notificaciones cuando se produzcan nuevos eventos

Las notificaciones de streaming en vivo para los nuevos eventos aparecen con las notificaciones del portal de Azure o Defender. Por ejemplo:

Notificación de Azure Portal para el streaming en vivo

  1. En el portal de Azure o Defender, vaya a las notificaciones en la parte superior derecha de la página del portal.
  2. Seleccione la notificación para abrir el panel de Streaming en vivo.

Elevar una sesión de streaming en vivo a una alerta

Promueva una sesión de transmisión en directo a una nueva alerta seleccionando Elevar a alerta en la barra de comandos de la sesión de transmisión en directo correspondiente:

Elevar la sesión de Live Stream a una alerta

Esta acción abre el asistente para crear reglas, que se rellena previamente con la consulta que está asociada a la sesión de streaming en vivo.

Pasos siguientes

En este artículo, aprendió cómo ejecutar un streaming en vivo de búsqueda en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: