Vorige

Volgende

Bedreigingen observeren in de loop van de tijd met livestream

Voltooid

U kunt de opsporings livestream gebruiken om query's te testen op livegebeurtenissen wanneer ze optreden. Livestream biedt interactieve sessies die u kunnen waarschuwen wanneer Microsoft Sentinel overeenkomende gebeurtenissen voor uw query vindt.

Een livestream is altijd gebaseerd op een query. Normaal gesproken gebruikt u de query om streaminglogboekgebeurtenissen te beperken, zodat alleen de gebeurtenissen die zijn gerelateerd aan uw inspanningen voor het opsporen van bedreigingen worden weergegeven. U kunt een livestream gebruiken om het volgende te doen:

• Nieuwe query's testen op livegebeurtenissen.
• Meldingen genereren voor bedreigingen.
• Onderzoeken starten.

Livestream-query's worden elke 30 seconden vernieuwd en genereren Azure-meldingen van eventuele nieuwe resultaten van de query.

Een livestream maken

Als u een livestream wilt maken op de pagina Opsporing in Microsoft Sentinel, selecteert u het tabblad Livestream en selecteert u Vervolgens Nieuwe livestream op de werkbalk.

Notitie

Livestream-query's worden continu uitgevoerd op uw liveomgeving, zodat u geen tijdparameters in een livestream-query kunt gebruiken.

Een livestream weergeven

Geef op de nieuwe Livestream-pagina een naam op voor de livestreamsessie en de query die resultaten voor de sessie levert. Meldingen voor livestreamgebeurtenissen worden weergegeven in uw Azure Portal-meldingen.

Een livestream beheren

U kunt de livestream afspelen om de resultaten te controleren of de livestream opslaan voor later gebruik. Opgeslagen livestreamsessies kunnen worden bekeken via het tabblad Livestream op de pagina Opsporing . U kunt ook gebeurtenissen van een livestreamsessie naar een waarschuwing verhogen door de gebeurtenissen te selecteren en vervolgens Verhogen naar waarschuwing te selecteren in de opdrachtbalk.

U kunt een livestream gebruiken om basislijnactiviteiten voor het verwijderen van Azure-resources bij te houden en andere Azure-resources te identificeren die moeten worden bijgehouden. Met de volgende query worden bijvoorbeeld alle Gebeurtenissen van Azure-activiteiten geretourneerd die een verwijderde resource hebben geregistreerd:

  AzureActivity
  | where OperationName has 'delete'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

Een livestream-query gebruiken om een analytische regel te maken

Als de query aanzienlijke resultaten retourneert, kunt u analyseregel maken selecteren op de opdrachtbalk om een analyseregel te maken op basis van de query. Nadat de regel de query heeft verfijnd om de specifieke resources te identificeren, kan deze waarschuwingen of incidenten genereren wanneer de resources worden verwijderd.

Kies het beste antwoord voor de volgende vraag en selecteer vervolgens Uw antwoorden controleren.

Test uw kennis

1.

Welke van de volgende opties kan niet worden gebruikt in een livestream-query?

Tijdsparameters

Parameters voor waarschuwingsgegevens

Gebeurtenisentiteiten

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.

Doorgaan