Delen via

Bedreigingen detecteren met behulp van opsporings livestream in Microsoft Sentinel

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Gebruik opsporings livestream om interactieve sessies te maken waarmee u zojuist gemaakte query's kunt testen wanneer er gebeurtenissen plaatsvinden, meldingen van de sessies ontvangen wanneer er een overeenkomst wordt gevonden en zo nodig onderzoeken starten. U kunt snel een livestreamsessie maken met behulp van een Log Analytics-query.

Opmerking

Dit artikel gaat over Opsporing in Microsoft Sentinel, die ook bestaat in Defender. Voor geavanceerde opsporing in Microsoft Defender, zie Proactief zoeken naar bedreigingen met geavanceerde opsporing in Microsoft Defender.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.

Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.

Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.

Een livestreamsessie maken

U kunt een livestreamsessie maken op basis van een bestaande opsporingsquery of uw sessie helemaal zelf maken.

  1. Voor Microsoft Sentinel in De Azure-portal selecteert u Opsporing onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting. Zorg ervoor dat u Opsporing selecteert en niet Geavanceerde opsporing.

  2. Een livestreamsessie maken op basis van een opsporingsquery:

    1. Zoek op het tabblad Query's de opsporingsquery die u wilt gebruiken.
    2. Klik met de rechtermuisknop op de query en selecteer Toevoegen aan livestream. Voorbeeld:

    Maak een Livestreamsessie van een zoekopdracht voor jacht in Microsoft Sentinel

  3. Een volledig nieuwe livestreamsessie maken:

    1. Selecteer het tabblad Livestream .
    2. Selecteer + Nieuwe livestream.

  4. In het deelvenster Livestream :

    • Als u livestream vanuit een query hebt gestart, controleert u de query en voert u wijzigingen aan die u wilt aanbrengen.
    • Als u helemaal zelf livestream hebt gestart, maakt u uw query.

    Livestream biedt ondersteuning voor query's voor meerdere resources van gegevens in Azure Data Explorer. Meer informatie over query's tussen resources.

  5. Selecteer Afspelen op de opdrachtbalk.

    De statusbalk onder de opdrachtbalk geeft aan of uw livestreamsessie wordt uitgevoerd of onderbroken. In het volgende voorbeeld wordt de sessie uitgevoerd:

    livestreamsessie maken van Microsoft Sentinel-opsporing

  6. Selecteer Opslaan op de opdrachtbalk.

    Tenzij u Onderbreken selecteert, blijft de sessie actief totdat u bent afgemeld bij Azure Portal.

Uw livestreamsessies weergeven

Zoek uw livestreamsessies op het tabblad Opsporings>livestream .

  1. Voor Microsoft Sentinel in De Azure-portal selecteert u Opsporing onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting.

  2. Selecteer het tabblad Livestream .

  3. Selecteer de livestreamsessie die u wilt weergeven of bewerken. Voorbeeld:

    livestreamsessie maken vanuit de opsporingsquery van Microsoft Sentinel

    De geselecteerde livestreamsessie wordt geopend zodat u kunt afspelen, onderbreken, bewerken, enzovoort.

Meldingen ontvangen wanneer er nieuwe gebeurtenissen plaatsvinden

Livestream-meldingen voor nieuwe gebeurtenissen worden weergegeven met de azure- of Defender-portalmeldingen. Voorbeeld:

Azure Portal-melding voor livestream

  1. Ga in de Azure- of Defender-portal naar de meldingen aan de rechterkant van de portalpagina.
  2. Selecteer de melding om het deelvenster Livestream te openen.

Een livestreamsessie uitbreiden naar een waarschuwing

Promoot een livestreamsessie naar een nieuwe waarschuwing door Elevate te selecteren om een waarschuwing uit te voeren op de opdrachtbalk in de relevante livestreamsessie:

Livestream-sessie uitbreiden naar een waarschuwing

Met deze actie wordt de wizard voor het maken van regels geopend, die vooraf wordt ingevuld met de query die is gekoppeld aan de livestreamsessie.

Volgende stappen

In dit artikel hebt u geleerd hoe u opsporings livestream gebruikt in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

  • Last updated on