Fenyegetések észlelése élő közvetítéssel a Microsoft Sentinelben

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A hunting livestream használatával interaktív munkameneteket hozhat létre, amelyek lehetővé teszik az újonnan létrehozott lekérdezések tesztelését események bekövetkezésekor, értesítéseket kaphat a munkamenetekből, ha talál egyezést, és szükség esetén vizsgálatot indíthat el. Bármely Log Analytics-lekérdezéssel gyorsan létrehozhat élő streames munkamenetet.

  • Újonnan létrehozott lekérdezések tesztelése események bekövetkezésekor

    A lekérdezéseket anélkül tesztelheti és módosíthatja, hogy ütközések lépnek fel az eseményekre aktívan alkalmazott jelenlegi szabályokkal. Miután meggyőződett arról, hogy ezek az új lekérdezések a várt módon működnek, egyszerűen előléptetheti őket az egyéni riasztási szabályokra egy olyan beállítás kiválasztásával, amely a munkamenetet riasztásra emeli.

  • Értesítés a fenyegetések bekövetkezésekor

    Összehasonlíthatja a veszélyforrás-adatcsatornákat az összesített naplóadatokkal, és értesítést kaphat, ha egyezés történik. A veszélyforrások adatcsatornái olyan folyamatos adatfolyamok, amelyek potenciális vagy aktuális fenyegetésekhez kapcsolódnak, így az értesítés potenciális fenyegetést jelezhet a szervezet számára. Hozzon létre egy élő folyami munkamenetet egyéni riasztási szabály helyett, hogy értesítést kapjon egy lehetséges problémáról anélkül, hogy az egyéni riasztási szabály fenntartásának többlettere lenne.

  • Vizsgálatok indítása

    Ha van egy aktív vizsgálat, amely egy objektumot, például egy gazdagépet vagy felhasználót érint, tekintse meg az adott (vagy bármely) tevékenységet a naplóadatokban, ahogy az az adott objektumon történik. Értesítést kaphat a tevékenységről.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Élő közvetítési munkamenet létrehozása

Létrehozhat élő közvetítéses munkamenetet egy meglévő keresési lekérdezésből, vagy létrehozhatja a munkamenetet az alapoktól.

  1. Az Azure PortalOn a Microsoft Sentinel esetében válassza a Veszélyforrások kezelése területen a Hunting (Vadászat) lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Threat Management>Hunting lehetőséget.

  2. Élőstream-munkamenet létrehozása egy vadász lekérdezésből:

    1. A Lekérdezések lapon keresse meg a használni kívánt keresési lekérdezést.
    2. Kattintson a jobb gombbal a lekérdezésre, és válassza a Hozzáadás élő közvetítéshez lehetőséget. Példa:

    Livestream-munkamenet létrehozása a Microsoft Sentinel keresési lekérdezéséből

  3. Élőstream-munkamenet létrehozása az alapoktól:

    1. Válassza az Élő közvetítés lapot.
    2. Válassza az + Új élő közvetítés lehetőséget.

  4. A Livestream panelen:

    • Ha élő közvetítést indított egy lekérdezésből, tekintse át a lekérdezést, és végezze el a kívánt módosításokat.
    • Ha az élő közvetítést az alapoktól kezdte, hozza létre a lekérdezést.

    A Livestream az Azure Data Explorerben támogatja az adatok erőforrásközi lekérdezését . További információ az erőforrás-alapú lekérdezésekről.

  5. Válassza a Lejátszás lehetőséget a parancssávon.

    A parancssáv alatti állapotsor jelzi, hogy az élő közvetítési munkamenet fut-e vagy szüneteltetve van-e. A következő példában a munkamenet fut:

    élő közvetítéses munkamenet létrehozása a Microsoft Sentinel-vadászatból

  6. Válassza a Mentés lehetőséget a parancssávon.

    Ha nem a Szüneteltetés lehetőséget választja, a munkamenet addig fut, amíg ki nem jelentkezik az Azure Portalról.

Élő közvetítési munkamenetek megtekintése

  1. Az Azure PortalOn a Microsoft Sentinel esetében válassza a Veszélyforrások kezelése területen a Hunting (Vadászat) lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Threat Management>Hunting lehetőséget.

  2. Válassza az Élő közvetítés lapot.

  3. Válassza ki a megtekinteni vagy szerkeszteni kívánt élő közvetítési munkamenetet. Példa:

    livestream munkamenet létrehozása a Microsoft Sentinel keresési lekérdezéséből

    Megnyílik a kiválasztott élő közvetítési munkamenet, ahol lejátszhat, szüneteltethet, szerkeszthet és így tovább.

Értesítések fogadása új események bekövetkezésekor

Mivel az új események élő közvetítéses értesítései Azure Portal-értesítéseket használnak, ezeket az értesítéseket mindig láthatja, amikor az Azure Portalt használja. Példa:

Azure Portal-értesítés élő közvetítéshez

Válassza ki az értesítést a Livestream panel megnyitásához.

Élő közvetítési munkamenet emelése riasztásba

Előléptethet egy élőstream-munkamenetet egy új riasztásba, ha a megfelelő élőstream-munkamenet parancssávján az Elevate (Emelés) elemet választja a riasztáshoz :

Élő közvetítési munkamenet megemelése riasztásra

Ez a művelet megnyitja a szabálylétrehozó varázslót, amely előre feltöltődik az élő közvetítési munkamenethez társított lekérdezéssel.

Következő lépések

Ebben a cikkben megtanulta, hogyan használhatja az élő folyami vadászatot a Microsoft Sentinelben. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: