Rilevare le minacce usando ricerche livestream in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

È possibile usare ricerche livestream per creare sessioni interattive che consentono di testare le query appena create non appena si verificano eventi, ottenere notifiche dalle sessioni quando viene trovata una corrispondenza e avviare indagini se necessario. È possibile creare rapidamente una sessione livestream usando qualsiasi query di Log Analytics.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Creare una sessione livestream

È possibile creare una sessione Live Stream da una query di ricerca esistente o creare la sessione da zero.

1. Per Microsoft Sentinel nel Portale di Azure, in Gestione delle minacce, selezionare Ricerca delle minacce informatiche.
   Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione delle minacce>Ricerca delle minacce informatiche.

2. Per creare una sessione livestream da una query di ricerca:

   1. Nella scheda Query individuare la query di ricerca da usare.
   2. Fare clic con il pulsante destro del mouse sulla query e selezionare Aggiungi a livestream. Ad esempio:

   

3. Per creare una sessione livestream da zero:

   1. Selezionare la scheda Livestream.
   2. Selezionare + Nuovo livestream.

4. Nel riquadro Livestream:

   • Se è stato avviato livestream da una query, esaminare la query e apportare eventuali modifiche necessarie.
   • Se è stato avviato livestream da zero, creare la query.

   Livestream supporta query tra risorse di dati in Esplora dati di Azure. Altre informazioni sulle query tra risorse.

5. Selezionare Riproduci dalla barra dei comandi.

   La barra di stato sotto la barra dei comandi indica se la sessione livestream è in esecuzione o sospesa. Nell'esempio seguente la sessione è in esecuzione:

   

6. Selezionare Salva dalla barra dei comandi.

   A meno che non si selezioni Sospendi, la sessione continua a essere eseguita fino a quando non si è disconnessi dal portale di Azure.

Visualizzare le sessioni livestream

Trovare le sessioni livestream nella scheda Ricerca>Livestream.

1. Per Microsoft Sentinel nel Portale di Azure, in Gestione delle minacce, selezionare Ricerca delle minacce informatiche.
   Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione delle minacce>Ricerca delle minacce informatiche.

2. Selezionare la scheda Livestream.

3. Selezionare la sessione livestream da visualizzare o modificare. Ad esempio:

   

   La sessione livestream selezionata viene aperta per poter essere riprodotta, sospesa, modificata e così via.

Ricevere notifiche quando si verificano nuovi eventi

Le notifiche livestream per i nuovi eventi vengono visualizzate con le notifiche del portale di Azure o Defender. Ad esempio:

1. Nel portale di Azure o Defender passare alle notifiche nella parte superiore destra della pagina del portale.
2. Selezionare la notifica per aprire il riquadro Livestream.

Elevare una sessione livestream a un avviso

Alzare il livello di una sessione livestream a un nuovo avviso selezionando Eleva per avvisare dalla barra dei comandi nella sessione livestream pertinente:

Questa azione apre la procedura guidata di creazione della regola, prepopolata con la query associata alla sessione livestream.

Passaggi successivi

In questo articolo si è appreso come usare ricerche livestream in Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Cercare le minacce in modo proattivo
• Usare notebook per eseguire campagne di ricerca automatizzate