Share via

Bedreigingen detecteren met behulp van opsporings livestream in Microsoft Sentinel

  • Artikel
  • Geldt voor:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Gebruik opsporings livestream om interactieve sessies te maken waarmee u zojuist gemaakte query's kunt testen wanneer er gebeurtenissen plaatsvinden, meldingen van de sessies ontvangen wanneer er een overeenkomst wordt gevonden en zo nodig onderzoeken starten. U kunt snel een livestreamsessie maken met behulp van een Log Analytics-query.

Belangrijk

Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Een livestreamsessie maken

U kunt een livestreamsessie maken op basis van een bestaande opsporingsquery of uw sessie helemaal zelf maken.

  1. Voor Microsoft Sentinel in De Azure-portal selecteert u Opsporing onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting.

  2. Een livestreamsessie maken op basis van een opsporingsquery:

    1. Zoek op het tabblad Query's de opsporingsquery die u wilt gebruiken.
    2. Klik met de rechtermuisknop op de query en selecteer Toevoegen aan livestream. Voorbeeld:

    Livestream-sessie maken van de Opsporingsquery van Microsoft Sentinel

  3. Een volledig nieuwe livestreamsessie maken:

    1. Selecteer het tabblad Livestream .
    2. Selecteer + Nieuwe livestream.

  4. In het deelvenster Livestream :

    • Als u livestream vanuit een query hebt gestart, controleert u de query en voert u wijzigingen aan die u wilt aanbrengen.
    • Als u helemaal zelf livestream hebt gestart, maakt u uw query.

    Livestream biedt ondersteuning voor query's voor meerdere resources van gegevens in Azure Data Explorer. Meer informatie over query's tussen resources.

  5. Selecteer Afspelen op de opdrachtbalk.

    De statusbalk onder de opdrachtbalk geeft aan of uw livestreamsessie wordt uitgevoerd of onderbroken. In het volgende voorbeeld wordt de sessie uitgevoerd:

    livestreamsessie maken van Microsoft Sentinel-opsporing

  6. Selecteer Opslaan op de opdrachtbalk.

    Tenzij u Onderbreken selecteert, blijft de sessie actief totdat u bent afgemeld bij Azure Portal.

Uw livestreamsessies weergeven

Zoek uw livestreamsessies op het tabblad Opsporings>livestream.

  1. Voor Microsoft Sentinel in De Azure-portal selecteert u Opsporing onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting.

  2. Selecteer het tabblad Livestream .

  3. Selecteer de livestreamsessie die u wilt weergeven of bewerken. Voorbeeld:

    livestreamsessie maken vanuit de opsporingsquery van Microsoft Sentinel

    De geselecteerde livestreamsessie wordt geopend zodat u kunt afspelen, onderbreken, bewerken, enzovoort.

Meldingen ontvangen wanneer er nieuwe gebeurtenissen plaatsvinden

Livestream-meldingen voor nieuwe gebeurtenissen worden weergegeven met de azure- of Defender-portalmeldingen. Voorbeeld:

Azure Portal-melding voor livestream

  1. Ga in de Azure- of Defender-portal naar de meldingen aan de rechterkant van de portalpagina.
  2. Selecteer de melding om het deelvenster Livestream te openen.

Een livestreamsessie uitbreiden naar een waarschuwing

Promoot een livestreamsessie naar een nieuwe waarschuwing door Elevate te selecteren om een waarschuwing uit te voeren op de opdrachtbalk in de relevante livestreamsessie:

Livestream-sessie uitbreiden naar een waarschuwing

Met deze actie wordt de wizard voor het maken van regels geopend, die vooraf wordt ingevuld met de query die is gekoppeld aan de livestreamsessie.

Volgende stappen

In dit artikel hebt u geleerd hoe u opsporings livestream gebruikt in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: