Fenyegetések észlelése élő közvetítéssel a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A hunting livestream használatával interaktív munkameneteket hozhat létre, amelyek lehetővé teszik az újonnan létrehozott lekérdezések tesztelését események bekövetkezésekor, értesítéseket kaphat a munkamenetekből, ha talál egyezést, és szükség esetén vizsgálatot indíthat el. Bármely Log Analytics-lekérdezéssel gyorsan létrehozhat élő streames munkamenetet.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Élő közvetítési munkamenet létrehozása

Létrehozhat élő közvetítéses munkamenetet egy meglévő keresési lekérdezésből, vagy létrehozhatja a munkamenetet az alapoktól.

1. Az Azure PortalOn a Microsoft Sentinel esetében válassza a Veszélyforrások kezelése területen a Hunting (Vadászat) lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Threat Management>Hunting lehetőséget.

2. Élőstream-munkamenet létrehozása egy vadász lekérdezésből:

   1. A Lekérdezések lapon keresse meg a használni kívánt keresési lekérdezést.
   2. Kattintson a jobb gombbal a lekérdezésre, és válassza a Hozzáadás élő közvetítéshez lehetőséget. Példa:

   

3. Élőstream-munkamenet létrehozása az alapoktól:

   1. Válassza az Élő közvetítés lapot.
   2. Válassza az + Új élő közvetítés lehetőséget.

4. A Livestream panelen:

   • Ha élő közvetítést indított egy lekérdezésből, tekintse át a lekérdezést, és végezze el a kívánt módosításokat.
   • Ha az élő közvetítést az alapoktól kezdte, hozza létre a lekérdezést.

   A Livestream az Azure Data Explorerben támogatja az adatok erőforrásközi lekérdezését . További információ az erőforrás-alapú lekérdezésekről.

5. Válassza a Lejátszás lehetőséget a parancssávon.

   A parancssáv alatti állapotsor jelzi, hogy az élő közvetítési munkamenet fut-e vagy szüneteltetve van-e. A következő példában a munkamenet fut:

   

6. Válassza a Mentés lehetőséget a parancssávon.

   Ha nem a Szüneteltetés lehetőséget választja, a munkamenet addig fut, amíg ki nem jelentkezik az Azure Portalról.

Élő közvetítési munkamenetek megtekintése

Keresse meg élő közvetítési munkameneteit a Hunting>Livestream lapon.

1. Az Azure PortalOn a Microsoft Sentinel esetében válassza a Veszélyforrások kezelése területen a Hunting (Vadászat) lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Threat Management>Hunting lehetőséget.

2. Válassza az Élő közvetítés lapot.

3. Válassza ki a megtekinteni vagy szerkeszteni kívánt élő közvetítési munkamenetet. Példa:

   

   Megnyílik a kiválasztott élő közvetítési munkamenet, ahol lejátszhat, szüneteltethet, szerkeszthet és így tovább.

Értesítések fogadása új események bekövetkezésekor

Az új események élő közvetítéses értesítései az Azure vagy a Defender portál értesítéseivel jelennek meg. Példa:

1. Az Azure vagy a Defender portálon nyissa meg a portáloldal jobb felső részén található értesítéseket.
2. Válassza ki az értesítést a Livestream panel megnyitásához.

Élő közvetítési munkamenet emelése riasztásba

Előléptethet egy élőstream-munkamenetet egy új riasztásba, ha a megfelelő élőstream-munkamenet parancssávján az Elevate (Emelés) elemet választja a riasztáshoz :

Ez a művelet megnyitja a szabálylétrehozó varázslót, amely előre feltöltődik az élő közvetítési munkamenethez társított lekérdezéssel.

Következő lépések

Ebben a cikkben megtanulta, hogyan használhatja az élő folyami vadászatot a Microsoft Sentinelben. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Veszélyforrások proaktív keresése
• Automatizált vadászati kampányok futtatása jegyzetfüzetek használatával