ライブストリームを使用して脅威を経時的に観察する
ハンティング ライブストリームを使用して、発生したライブ イベントに対してクエリをテストできます。 ライブストリームにより、Microsoft Azure Sentinel でクエリに一致するイベントが見つかったときに通知できる、対話型セッションが提供されます。
ライブストリームは常にクエリに基づきます。 通常は、脅威ハンティング作業に関連するイベントのみが表示されるように、クエリを使用してストリーミング ログ イベントを絞り込みます。 ライブストリームを使用して、次のことを実行できます。
- ライブ イベントに対して新しいクエリをテストする。
- 脅威の通知を生成する。
- 調査を開始する。
ライブストリーム クエリは 30 秒ごとに最新の情報に更新され、クエリから新しい結果の Azure 通知が生成されます。
ライブストリームを作成する
Microsoft Azure Sentinel の [ハンティング] ページからライブストリームを作成するには、[ライブストリーム] タブを選択し、ツール バーから [新しいライブストリーム] を選択します。
Note
ライブストリーム クエリはライブ環境に対して継続的に実行されるため、ライブストリーム クエリでタイム パラメーターを使用することはできません。
ライブストリームを表示する
新しい [ライブストリーム] ページで、ライブストリーム セッションの名前と、セッションの結果を提供するクエリを指定します。 ライブストリーム イベントに関する通知が、Azure portal 通知に表示されます。
ライブストリームを管理する
ライブストリームを再生して結果を確認したり、後で参照するためにライブストリームを保存したりすることができます。 保存されたライブストリーム セッションは、[Hunting](ハンティング) ページの [ライブストリーム] タブから表示できます。 イベントを選択し、コマンド バーから[アラートに昇格] を選択して、ライブストリーム セッションからアラートにイベントを昇格させることもできます。
ライブストリームを使用して、Azure リソースの削除に関するベースライン アクティビティを追跡し、追跡する必要がある他の Azure リソースを特定できます。 たとえば、次のクエリにより、削除されたリソースを記録したすべての Azure アクティビティ イベントが返されます。
AzureActivity
| where OperationName has 'delete'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
ライブストリーム クエリを使用して分析ルールを作成する
クエリによって重要な結果が返された場合、コマンド バーから [Create analytics rule](分析ルールの作成) を選択して、クエリに基づいて分析ルールを作成できます。 特定のリソースを特定するためにルールでクエリを絞り込んだ後、リソースが削除されたときにアラートまたはインシデントを生成できます。
以下の質問に最も適した回答を選んでください。次に、[回答を確認] を選びます。