헌팅 라이브 스트림을 사용하여 이벤트가 발생할 때 새로 생성된 쿼리를 테스트하고, 일치 항목이 발견될 때 세션에서 알림을 받고, 필요한 경우 조사를 시작할 수 있는 대화형 세션을 만듭니다. Log Analytics 쿼리를 사용하여 라이브 스트림 세션을 신속하게 만들 수 있습니다.
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 Microsoft Sentinel을 참조하세요.
라이브 스트림 만들기
기존 헌팅 쿼리에서 라이브 스트림 세션을 만들거나 처음부터 세션을 만들 수 있습니다.
Azure Portal의 Microsoft Sentinel의 경우 위협 관리에서 헌팅을 선택합니다.
Defender 포털에서 Microsoft Sentinel을 선택하고 > 및 헌팅으로 이동합니다.헌팅 쿼리에서 라이브 스트림 세션을 만들려면 다음을 수행합니다.
- 쿼리 탭에서 사용할 헌팅 쿼리를 찾습니다.
- 쿼리를 마우스 오른쪽 단추로 클릭하고 라이브 스트림에 추가를 선택합니다. 예시:
라이브 스트림 세션을 처음부터 만들려면 다음을 수행합니다.
- 라이브 스트림 탭을 선택합니다.
- + 새 라이브 스트림을 선택합니다.
라이브 스트림 창에서:
- 쿼리에서 라이브 스트림을 시작한 경우 쿼리를 검토하고 원하는 변경 작업을 수행합니다.
- 라이브 스트림을 처음부터 시작했으면 쿼리를 만듭니다.
Livestream은 Azure Data Explorer에서 데이터의 리소스 간 쿼리를 지원합니다 . 리소스 간 쿼리에 대해 자세히 알아봅니다.
명령 모음에서 재생 을 선택합니다.
명령 모음 아래의 상태 표시줄에는 라이브 스트림 세션이 실행 중인지 아니면 일시 중지되었는지 여부가 표시됩니다. 다음 예제에서는 세션이 실행됩니다.
명령 모음에서 저장 을 선택합니다.
일시 중지를 선택하지 않으면 Azure Portal에서 로그아웃될 때까지 세션이 계속 실행됩니다.
라이브 스트림 세션 보기
헌팅>라이브스트림 탭에서 세션을 찾으세요.
Azure Portal의 Microsoft Sentinel의 경우 위협 관리에서 헌팅을 선택합니다.
Defender 포털에서 Microsoft Sentinel을 선택하고 > 및 헌팅으로 이동합니다.라이브 스트림 탭을 선택합니다.
보거나 편집하길 원하는 라이브 스트림 세션을 선택합니다. 예시:
선택한 라이브 스트림 세션이 재생, 일시 중지, 편집 등으로 열립니다.
새 이벤트가 발생할 때 알림 받기
새 이벤트에 대한 라이브스트림 알림이 Azure 또는 Defender 포털 알림과 함께 표시됩니다. 예시:
- Azure 또는 Defender 포털에서 포털 페이지의 오른쪽 위에 있는 알림으로 이동합니다.
- 알림을 선택하여 라이브 스트림 창을 엽니다.
라이브 스트림 세션을 경고로 상승
관련 라이브 스트림 세션의 명령 모음에서 경고하도록 Elevate를 선택하여 라이브 스트림 세션을 새 경고로 승격합니다.
이 작업을 수행하면 라이브 스트림 세션과 연결된 쿼리로 미리 채워져 있는 규칙 만들기 마법사가 열립니다.
다음 단계
이 문서에서는 Microsoft Sentinel의 헌팅 Livestream을 사용하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.