Előző

Következő

A fenyegetések folyamatos figyelése élő közvetítéssel

Befejeződött

A vadászati élő közvetítés használatával élő eseményeken tesztelheti a lekérdezéseket. A Livestream interaktív munkameneteket biztosít, amelyek értesítik, ha a Microsoft Sentinel megkeresi a lekérdezéshez tartozó egyező eseményeket.

Az élő közvetítések mindig lekérdezésen alapulnak. Általában a lekérdezéssel szűkíti le a streamelési napló eseményeit, így csak a fenyegetéskeresési tevékenységhez kapcsolódó események jelennek meg. Az élő közvetítés a következőkre használható:

• Új lekérdezések tesztelése élő eseményekben.
• Értesítések létrehozása veszélyforrásokhoz.
• Vizsgálatok indítása.

Az élő közvetítéses lekérdezések 30 másodpercenként frissülnek, és Azure-értesítéseket készítenek a lekérdezés új eredményeiről.

Élő közvetítés létrehozása

Ha a Microsoft Sentinel Vadászat lapjáról szeretne élő közvetítést létrehozni, válassza a Livestream lapot, majd az eszköztár Új élő közvetítés elemét.

Megjegyzés:

A livestream lekérdezések folyamatosan futnak az élő környezetben, így nem használhat időparamétereket egy élő streames lekérdezésben.

Élő közvetítések megtekintése

Az új Élő közvetítés lapon adja meg az élő közvetítési munkamenet nevét és a munkamenet eredményeit biztosító lekérdezést. Az élő streames események értesítései megjelennek az Azure Portal értesítéseiben.

Élő közvetítés kezelése

Ez élő közvetítést lejátszhatja az eredmények áttekintéséhez vagy a közvetítés elmentéséhez. A mentett élő közvetítési munkamenetek a Vadászat lap Élő közvetítés lapján tekinthetők meg. Az élő közvetítéses munkamenetek eseményei az események, majd a parancssáv Riasztássá emelés elemének kiválasztásával is kiemelhetők.

Élő közvetítéssel nyomon követheti az Azure-erőforrások törlésének alaptevékenységét, és azonosíthat más, nyomon követendő Azure-erőforrásokat. Az alábbi lekérdezés például a törölt erőforrást rögzített Azure-tevékenységeseményeket adja vissza:

  AzureActivity
  | where OperationName has 'delete'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

Elemzési szabály létrehozása élő közvetítéses lekérdezéssel

Ha a lekérdezés jelentős eredményeket ad vissza, a parancssávon az Elemzési szabály létrehozása lehetőséget választva létrehozhat egy elemzési szabályt a lekérdezés alapján. Miután a szabály pontosítja a lekérdezést az adott erőforrások azonosításához, riasztásokat vagy incidenseket hozhat létre az erőforrások törlésekor.

Válassza ki a legjobb választ a következő kérdésre, majd válassza a Válaszok ellenőrzése lehetőséget.

Tesztelje tudását

1.

Az alábbiak közül melyik nem használható élő folyamos lekérdezésekben?

Időparaméterek

Riasztási adatparaméterek

Eseményentitások

A munka ellenőrzése előtt minden kérdésre válaszolnia kell.

Folytatás