Mendeteksi ancaman dengan menggunakan livestream berburu di Microsoft Azure Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Gunakan livestream pemburuan untuk membuat sesi interaktif yang memungkinkan Anda menguji kueri yang baru dibuat saat peristiwa terjadi, mendapatkan pemberitahuan dari sesi saat pertandingan ditemukan, dan meluncurkan investigasi jika perlu. Anda dapat dengan cepat membuat sesi livestream menggunakan kueri Log Analytics apa pun.

• Menguji kueri yang baru dibuat saat kueri tersebut muncul

  Anda dapat menguji dan menyesuaikan kueri tanpa konflik apa pun terhadap aturan saat ini yang sedang diterapkan secara aktif ke peristiwa. Setelah Anda mengonfirmasi kueri baru ini berfungsi seperti yang diharapkan, mudah untuk mempromosikannya ke aturan pemberitahuan kustom dengan memilih opsi yang meningkatkan sesi menjadi pemberitahuan.

• Mendapatkan pemberitahuan ketika ancaman terjadi

  Anda dapat membandingkan umpan data ancaman dengan data log agregat dan diberi tahu saat kecocokan terjadi. Umpan data ancaman adalah aliran data yang sedang terjadi, yang terkait dengan potensi atau ancaman saat ini, sehingga pemberitahuan mungkin menunjukkan potensi ancaman bagi organisasi Anda. Buat sesi livestream alih-alih aturan pemberitahuan kustom untuk diberi tahu tentang potensi masalah tanpa overhead mempertahankan aturan pemberitahuan kustom.

• Meluncurkan investigasi

  Jika ada investigasi aktif yang melibatkan aset seperti host atau pengguna, lihat aktivitas tertentu (atau apa pun) dalam data log saat terjadi pada aset tersebut. Diberi tahu ketika aktivitas tersebut terjadi.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Membuat sesi livestream

Anda dapat membuat sesi livestream dari kueri pemburuan yang ada, atau membuat sesi Anda dari awal.

1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman, pilih Perburuan.
   Untuk Microsoft Azure Sentinel di portal Defender, pilih Perburuan Manajemen>Ancaman Microsoft Sentinel.>

2. Untuk membuat sesi livestream dari kueri pemburuan:

   1. Dari tab Kueri, temukan kueri pemburuan yang akan digunakan.
   2. Klik kanan kueri dan pilih Tambahkan ke livestream. Contohnya:

   

3. Untuk membuat sesi livestream dari awal:

   1. Pilih tab Livestream .
   2. Pilih + Livestream baru.

4. Pada panel Livestream:

   • Jika Anda memulai livestream dari kueri, tinjau kueri dan buat perubahan apa pun yang ingin Anda buat.
   • Jika Anda memulai livestream dari awal, buat kueri Anda.

   Livestream mendukung kueri data lintas sumber daya di Azure Data Explorer. Pelajari lebih lanjut tentang kueri lintas sumber daya.

5. Pilih Putar dari bilah perintah.

   Bilah status di bawah bilah perintah menunjukkan apakah sesi livestream Anda berjalan atau dijeda. Dalam contoh berikut, sesi sedang berjalan:

   

6. Pilih Simpan dari bilah perintah.

   Kecuali Anda memilih Jeda, sesi terus berjalan hingga Anda keluar dari portal Azure.

Melihat sesi livestream Anda

1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman, pilih Perburuan.
   Untuk Microsoft Azure Sentinel di portal Defender, pilih Perburuan Manajemen>Ancaman Microsoft Sentinel.>

2. Pilih tab Livestream .

3. Pilih sesi livestream yang ingin Anda lihat atau edit. Contohnya:

   

   Sesi livestream yang Anda pilih terbuka untuk Anda putar, jeda, edit, dan sebagainya.

Menerima pemberitahuan ketika peristiwa baru terjadi

Karena pemberitahuan livestream untuk acara baru menggunakan pemberitahuan portal Microsoft Azure, Anda akan melihat pemberitahuan ini setiap kali Anda menggunakan portal Microsoft Azure. Contohnya:

Pilih pemberitahuan untuk membuka panel Livestream.

Meningkatkan sesi livestream menjadi peringatan

Promosikan sesi livestream ke pemberitahuan baru dengan memilih Tingkatkan pemberitahuan dari bilah perintah pada sesi livestream yang relevan:

Tindakan ini membuka panduan pembuatan aturan, yang telah diisi sebelumnya dengan kueri yang terkait dengan sesi livestream.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara menggunakan livestream perburuan di Microsoft Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Memburu ancaman secara proaktif
• Menggunakan buku catatan untuk menjalankan kampanye pemburuan otomatis