Detección de amenazas mediante la búsqueda en directo en Microsoft Sentinel

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Use el streaming en vivo de búsqueda para crear sesiones interactivas que permitan probar las consultas recién creadas a medida que se produzcan eventos, recibir notificaciones de las sesiones cuando se encuentre una coincidencia e iniciar investigaciones si es necesario. Puede crear rápidamente una sesión de streaming en vivo mediante cualquier consulta de Log Analytics.

  • Pruebe las consultas recién creadas en tiempo real

    Puede probar y ajustar las consultas sin conflictos con las reglas actuales que se aplican activamente a los eventos. Después de confirmar que estas nuevas consultas funcionan según lo previsto, es fácil promocionarlas en reglas de alerta personalizadas seleccionando una opción que eleva la sesión a una alerta.

  • Reciba una notificación cuando se produzcan amenazas

    Puede comparar las fuentes de distribución de datos de amenazas con los datos de registro agregados y recibir una notificación cuando se produzca una coincidencia. Las fuentes de distribución de datos de amenazas son secuencias de datos en curso que están relacionadas con amenazas potenciales o actuales, por lo que la notificación podría indicar una amenaza potencial para la organización. Cree una sesión de retransmisión en directo en lugar de una regla de alerta personalizada para recibir una notificación de un posible problema sin los gastos generales de mantener una regla de alerta personalizada.

  • Inicio de investigaciones

    Si hay una investigación activa que implica a un activo, como un host o un usuario, vea la actividad específica (o cualquier actividad) en los datos de registro a medida que se produce en ese activo. Reciba una notificación cuando se produzca dicha actividad.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Creación de una sesión de streaming en vivo

Puede crear una sesión de streaming en vivo a partir de una consulta de búsqueda existente o crear la sesión desde cero.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.

  2. Para crear una sesión de streaming en vivo a partir de una consulta de búsqueda:

    1. En la pestaña Consultas, busque la consulta de búsqueda que se va a usar.
    2. Haga clic con el botón secundario en la consulta y seleccione Agregar a streaming en vivo. Por ejemplo:

    Creación de una sesión de Live Stream desde una consulta de búsqueda de Microsoft Sentinel

  3. Para crear una sesión de streaming en vivo desde cero:

    1. Seleccione la pestaña Transmisión en directo.
    2. Haga clic en + Nueva transmisión en directo.

  4. En el panel de Streaming en vivo:

    • Si inició streaming en vivo desde una consulta, revise la consulta y realice los cambios que desee realizar.
    • Si inició streaming en vivo desde cero, cree la consulta.

    Live Stream admite consultas entre recursos de datos en Azure Data Explorer. Obtenga más información sobre las consultas entre recursos.

  5. En la barra de comandos, seleccione Reproducir.

    La barra de estado de la barra de comandos indica si la sesión de streaming en vivo está en ejecución o en pausa. En el ejemplo siguiente, la sesión se está ejecutando:

    Creación de una sesión de Live Stream desde una búsqueda de Microsoft Sentinel

  6. En la barra de comandos, seleccione Guardar.

    A menos que seleccione Pausar, la sesión continuará ejecutándose hasta que salga del Azure portal.

Visualización de las sesiones de streaming en vivo

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.

  2. Seleccione la pestaña Transmisión en directo.

  3. Seleccione la sesión de streaming en vivo que desea ver o editar. Por ejemplo:

    Creación de una sesión de Live Stream desde una consulta de búsqueda de Microsoft Sentinel

    Se abre la sesión de streaming en vivo seleccionada para que pueda reproducirla, pausarla, editarla, etc.

Recibir notificaciones cuando se produzcan nuevos eventos

Dado que las notificaciones de streaming en vivo para los nuevos eventos usan notificaciones de Azure Portal, verá estas notificaciones cada vez que use Azure Portal. Por ejemplo:

Notificación de Azure Portal para el streaming en vivo

Seleccione la notificación para abrir el panel de Streaming en vivo.

Elevar una sesión de streaming en vivo a una alerta

Promueva una sesión de transmisión en directo a una nueva alerta seleccionando Elevar a alerta en la barra de comandos de la sesión de transmisión en directo correspondiente:

Elevar la sesión de Live Stream a una alerta

Esta acción abre el asistente para crear reglas, que se rellena previamente con la consulta que está asociada a la sesión de streaming en vivo.

Pasos siguientes

En este artículo, aprendió cómo ejecutar un streaming en vivo de búsqueda en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: