Detección de amenazas mediante la búsqueda en directo en Microsoft Sentinel
Use el streaming en vivo de búsqueda para crear sesiones interactivas que permitan probar las consultas recién creadas a medida que se produzcan eventos, recibir notificaciones de las sesiones cuando se encuentre una coincidencia e iniciar investigaciones si es necesario. Puede crear rápidamente una sesión de streaming en vivo mediante cualquier consulta de Log Analytics.
Pruebe las consultas recién creadas en tiempo real
Puede probar y ajustar las consultas sin conflictos con las reglas actuales que se aplican activamente a los eventos. Después de confirmar que estas nuevas consultas funcionan según lo previsto, es fácil promocionarlas en reglas de alerta personalizadas seleccionando una opción que eleva la sesión a una alerta.
Reciba una notificación cuando se produzcan amenazas
Puede comparar las fuentes de distribución de datos de amenazas con los datos de registro agregados y recibir una notificación cuando se produzca una coincidencia. Las fuentes de distribución de datos de amenazas son secuencias de datos en curso que están relacionadas con amenazas potenciales o actuales, por lo que la notificación podría indicar una amenaza potencial para la organización. Cree una sesión de retransmisión en directo en lugar de una regla de alerta personalizada para recibir una notificación de un posible problema sin los gastos generales de mantener una regla de alerta personalizada.
Inicio de investigaciones
Si hay una investigación activa que implica a un activo, como un host o un usuario, vea la actividad específica (o cualquier actividad) en los datos de registro a medida que se produce en ese activo. Reciba una notificación cuando se produzca dicha actividad.
Importante
Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Creación de una sesión de streaming en vivo
Puede crear una sesión de streaming en vivo a partir de una consulta de búsqueda existente o crear la sesión desde cero.
Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.Para crear una sesión de streaming en vivo a partir de una consulta de búsqueda:
- En la pestaña Consultas, busque la consulta de búsqueda que se va a usar.
- Haga clic con el botón secundario en la consulta y seleccione Agregar a streaming en vivo. Por ejemplo:
Para crear una sesión de streaming en vivo desde cero:
- Seleccione la pestaña Transmisión en directo.
- Haga clic en + Nueva transmisión en directo.
En el panel de Streaming en vivo:
- Si inició streaming en vivo desde una consulta, revise la consulta y realice los cambios que desee realizar.
- Si inició streaming en vivo desde cero, cree la consulta.
Live Stream admite consultas entre recursos de datos en Azure Data Explorer. Obtenga más información sobre las consultas entre recursos.
En la barra de comandos, seleccione Reproducir.
La barra de estado de la barra de comandos indica si la sesión de streaming en vivo está en ejecución o en pausa. En el ejemplo siguiente, la sesión se está ejecutando:
En la barra de comandos, seleccione Guardar.
A menos que seleccione Pausar, la sesión continuará ejecutándose hasta que salga del Azure portal.
Visualización de las sesiones de streaming en vivo
Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.Seleccione la pestaña Transmisión en directo.
Seleccione la sesión de streaming en vivo que desea ver o editar. Por ejemplo:
Se abre la sesión de streaming en vivo seleccionada para que pueda reproducirla, pausarla, editarla, etc.
Recibir notificaciones cuando se produzcan nuevos eventos
Dado que las notificaciones de streaming en vivo para los nuevos eventos usan notificaciones de Azure Portal, verá estas notificaciones cada vez que use Azure Portal. Por ejemplo:
Seleccione la notificación para abrir el panel de Streaming en vivo.
Elevar una sesión de streaming en vivo a una alerta
Promueva una sesión de transmisión en directo a una nueva alerta seleccionando Elevar a alerta en la barra de comandos de la sesión de transmisión en directo correspondiente:
Esta acción abre el asistente para crear reglas, que se rellena previamente con la consulta que está asociada a la sesión de streaming en vivo.
Pasos siguientes
En este artículo, aprendió cómo ejecutar un streaming en vivo de búsqueda en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: