Rilevare le minacce usando livestream di ricerca in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Usare la ricerca livestream per creare sessioni interattive che consentono di testare le query appena create man mano che si verificano eventi, ricevere notifiche dalle sessioni quando viene trovata una corrispondenza e avviare le indagini, se necessario. È possibile creare rapidamente una sessione livestream usando qualsiasi query di Log Analytics.

• Testare le query appena create man mano che si verificano eventi

  È possibile testare e regolare le query senza conflitti con le regole correnti applicate attivamente agli eventi. Dopo aver verificato che queste nuove query funzionino come previsto, è facile alzarle di livello a regole di avviso personalizzate selezionando un'opzione che eleva la sessione a un avviso.

• Ricevere una notifica quando si verificano minacce

  È possibile confrontare i feed di dati delle minacce con i dati di log aggregati e ricevere una notifica quando si verifica una corrispondenza. I feed di dati delle minacce sono flussi continui di dati correlati a potenziali minacce o minacce correnti, pertanto la notifica potrebbe indicare una potenziale minaccia per l'organizzazione. Creare una sessione livestream anziché una regola di avviso personalizzata per ricevere una notifica di un potenziale problema senza i sovraccarichi della gestione di una regola di avviso personalizzata.

• Avviare indagini

  Se è presente un'indagine attiva che coinvolge un asset, ad esempio un host o un utente, visualizzare attività specifiche (o qualsiasi) nei dati di log man mano che si verificano su tale asset. Ricevere una notifica quando si verifica l'attività.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Creare una sessione livestream

È possibile creare una sessione livestream da una query di ricerca esistente o creare la sessione da zero.

1. Per Microsoft Sentinel nella portale di Azure, in Gestione delle minacce selezionare Ricerca.
   Per Microsoft Sentinel nel portale di Defender selezionare Ricerca di gestione>delle minacce di Microsoft Sentinel.>

2. Per creare una sessione livestream da una query di ricerca:

   1. Nella scheda Query individuare la query di ricerca da usare.
   2. Fare clic con il pulsante destro del mouse sulla query e scegliere Aggiungi a livestream. Ad esempio:

   

3. Per creare una sessione livestream da zero:

   1. Selezionare la scheda LiveStream .
   2. Selezionare + Nuovo livestream.

4. Nel riquadro LiveStream:

   • Se è stato avviato livestream da una query, esaminare la query e apportare eventuali modifiche da apportare.
   • Se è stato avviato livestream da zero, creare la query.

   Livestream supporta query tra risorse di dati in Azure Esplora dati. Altre informazioni sulle query tra risorse.

5. Selezionare Riproduci sulla barra dei comandi.

   La barra di stato sotto la barra dei comandi indica se la sessione livestream è in esecuzione o sospesa. Nell'esempio seguente la sessione è in esecuzione:

   

6. Selezionare Salva dalla barra dei comandi.

   Se non si seleziona Sospendi, la sessione continua a essere eseguita fino a quando non si è disconnessi dal portale di Azure.

Visualizzare le sessioni livestream

1. Per Microsoft Sentinel nella portale di Azure, in Gestione delle minacce selezionare Ricerca.
   Per Microsoft Sentinel nel portale di Defender selezionare Ricerca di gestione>delle minacce di Microsoft Sentinel.>

2. Selezionare la scheda LiveStream .

3. Selezionare la sessione livestream da visualizzare o modificare. Ad esempio:

   

   La sessione livestream selezionata viene aperta per poter riprodurre, sospendere, modificare e così via.

Ricevere notifiche quando si verificano nuovi eventi

Poiché le notifiche livestream per i nuovi eventi usano notifiche portale di Azure, queste notifiche vengono visualizzate ogni volta che si usa il portale di Azure. Ad esempio:

Selezionare la notifica per aprire il riquadro LiveStream .

Elevare una sessione livestream a un avviso

Alzare di livello una sessione livestream a un nuovo avviso selezionando Elevate per inviare un avviso dalla barra dei comandi nella sessione livestream pertinente:

Questa azione apre la creazione guidata della regola, prepopolata con la query associata alla sessione livestream.

Passaggi successivi

In questo articolo si è appreso come usare il livestream di ricerca in Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Cercare le minacce in modo proattivo
• Usare i notebook per eseguire campagne di ricerca automatizzate