Udostępnij za pośrednictwem

Wykrywanie zagrożeń przy użyciu transmisji strumieniowej na żywo wyszukiwania zagrożeń w usłudze Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Wyszukiwanie zagrożeń na żywo umożliwia tworzenie interakcyjnych sesji, które umożliwiają testowanie nowo utworzonych zapytań w miarę występowania zdarzeń, otrzymywanie powiadomień z sesji po znalezieniu dopasowania i uruchamianie badań w razie potrzeby. Możesz szybko utworzyć sesję transmisji strumieniowej na żywo przy użyciu dowolnego zapytania usługi Log Analytics.

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Tworzenie sesji transmisji strumieniowej na żywo

Możesz utworzyć sesję transmisji strumieniowej na żywo na podstawie istniejącego zapytania wyszukiwania zagrożeń lub utworzyć sesję od podstaw.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie zagrożeń> w usłudze Microsoft Sentinel.>

  2. Aby utworzyć sesję transmisji strumieniowej na żywo na podstawie zapytania wyszukiwania zagrożeń:

    1. Na karcie Zapytania znajdź zapytanie wyszukiwania zagrożeń do użycia.
    2. Kliknij prawym przyciskiem myszy zapytanie i wybierz polecenie Dodaj do transmisji strumieniowej na żywo. Na przykład:

    tworzenie sesji transmisji strumieniowej na żywo z zapytania wyszukiwania zagrożeń usługi Microsoft Sentinel

  3. Aby utworzyć sesję transmisji strumieniowej na żywo od podstaw:

    1. Wybierz kartę Transmisja strumieniowa na żywo.
    2. Wybierz pozycję + Nowy transmisji strumieniowej na żywo.

  4. W okienku Transmisji strumieniowej na żywo:

    • Jeśli uruchomiono transmisję strumieniową na żywo z zapytania, przejrzyj zapytanie i wprowadź wszelkie zmiany, które chcesz wprowadzić.
    • Jeśli rozpoczęto transmisję strumienia strumieniowego na żywo od podstaw, utwórz zapytanie.

    Transmisja strumieniowa na żywo obsługuje zapytania między zasobami dotyczące danych w usłudze Azure Data Explorer. Dowiedz się więcej o zapytaniach między zasobami.

  5. Wybierz pozycję Odtwórz na pasku poleceń.

    Pasek stanu na pasku poleceń wskazuje, czy sesja transmisji strumieniowej na żywo jest uruchomiona, czy wstrzymana. W poniższym przykładzie sesja jest uruchomiona:

    tworzenie sesji transmisji strumieniowej na żywo na podstawie wyszukiwania zagrożeń w usłudze Microsoft Sentinel

  6. Na pasku poleceń wybierz opcję Zapisz.

    Jeśli nie wybierzesz pozycji Wstrzymaj, sesja będzie kontynuowana do momentu wylogowania się z witryny Azure Portal.

Wyświetlanie sesji transmisji strumieniowej na żywo

Znajdź sesje transmisji strumieniowej na żywo na karcie Wyszukiwanie>transmisji strumieniowej na żywo.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie zagrożeń> w usłudze Microsoft Sentinel.>

  2. Wybierz kartę Transmisja strumieniowa na żywo.

  3. Wybierz sesję transmisji strumieniowej na żywo, którą chcesz wyświetlić lub edytować. Na przykład:

    tworzenie sesji transmisji strumieniowej na żywo z zapytania wyszukiwania zagrożeń usługi Microsoft Sentinel

    Wybrana sesja transmisji strumieniowej na żywo zostanie otwarta, aby odtwarzać, wstrzymywać, edytować i tak dalej.

Odbieranie powiadomień o wystąpieniu nowych zdarzeń

Powiadomienia transmisji strumieniowej na żywo dotyczące nowych zdarzeń są wyświetlane z powiadomieniami w portalu Azure lub Defender. Na przykład:

Powiadomienie w witrynie Azure Portal dotyczące transmisji strumieniowej na żywo

  1. W witrynie Azure lub Defender Portal przejdź do powiadomień w prawej górnej części strony portalu.
  2. Wybierz powiadomienie, aby otworzyć okienko Transmisji strumieniowej na żywo.

Podnoszenie poziomu sesji transmisji strumieniowej na żywo do alertu

Podwyższ poziom sesji transmisji strumieniowej na żywo do nowego alertu, wybierając pozycję Podnieś poziom do alertu na pasku poleceń w odpowiedniej sesji transmisji strumieniowej na żywo:

Podnoszenie poziomu sesji transmisji strumieniowej na żywo do alertu

Ta akcja powoduje otwarcie kreatora tworzenia reguły, który jest wstępnie wypełniony zapytaniem skojarzonym z sesją transmisji strumieniowej na żywo.

Następne kroki

W tym artykule przedstawiono sposób korzystania z transmisji strumieniowej na żywo wyszukiwania zagrożeń w usłudze Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: