Wykrywanie zagrożeń przy użyciu transmisji strumieniowej na żywo wyszukiwania zagrożeń w usłudze Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Wyszukiwanie zagrożeń na żywo umożliwia tworzenie interakcyjnych sesji, które umożliwiają testowanie nowo utworzonych zapytań w miarę występowania zdarzeń, otrzymywanie powiadomień z sesji po znalezieniu dopasowania i uruchamianie badań w razie potrzeby. Możesz szybko utworzyć sesję transmisji strumieniowej na żywo przy użyciu dowolnego zapytania usługi Log Analytics.

  • Testowanie nowo utworzonych zapytań w miarę występowania zdarzeń

    Zapytania można testować i dostosowywać bez żadnych konfliktów z bieżącymi regułami, które są aktywnie stosowane do zdarzeń. Po potwierdzeniu, że te nowe zapytania działają zgodnie z oczekiwaniami, można łatwo podwyższyć poziom ich do niestandardowych reguł alertów, wybierając opcję, która podnosi poziom sesji do alertu.

  • Otrzymywanie powiadomień o wystąpieniu zagrożeń

    Możesz porównać źródła danych zagrożeń z zagregowanymi danymi dziennika i otrzymywać powiadomienia o wystąpieniu dopasowania. Źródła danych zagrożeń to ciągłe strumienie danych, które są związane z potencjalnymi lub bieżącymi zagrożeniami, więc powiadomienie może wskazywać na potencjalne zagrożenie dla organizacji. Utwórz sesję transmisji strumieniowej na żywo zamiast niestandardowej reguły alertu, aby otrzymywać powiadomienia o potencjalnym problemie bez konieczności utrzymywania niestandardowej reguły alertu.

  • Uruchamianie badań

    Jeśli istnieje aktywne badanie, które obejmuje zasób, taki jak host lub użytkownik, wyświetl określone (lub dowolne) działanie w danych dziennika w miarę ich wystąpienia w tym zasobie. Powiadomienie o wystąpieniu tego działania.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Tworzenie sesji transmisji strumieniowej na żywo

Możesz utworzyć sesję transmisji strumieniowej na żywo na podstawie istniejącego zapytania wyszukiwania zagrożeń lub utworzyć sesję od podstaw.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie zagrożeń> w usłudze Microsoft Sentinel.>

  2. Aby utworzyć sesję transmisji strumieniowej na żywo na podstawie zapytania wyszukiwania zagrożeń:

    1. Na karcie Zapytania znajdź zapytanie wyszukiwania zagrożeń do użycia.
    2. Kliknij prawym przyciskiem myszy zapytanie i wybierz polecenie Dodaj do transmisji strumieniowej na żywo. Na przykład:

    tworzenie sesji transmisji strumieniowej na żywo z zapytania wyszukiwania zagrożeń usługi Microsoft Sentinel

  3. Aby utworzyć sesję transmisji strumieniowej na żywo od podstaw:

    1. Wybierz kartę Transmisja strumieniowa na żywo.
    2. Wybierz pozycję + Nowy transmisji strumieniowej na żywo.

  4. W okienku Transmisji strumieniowej na żywo:

    • Jeśli uruchomiono transmisję strumieniową na żywo z zapytania, przejrzyj zapytanie i wprowadź wszelkie zmiany, które chcesz wprowadzić.
    • Jeśli rozpoczęto transmisję strumienia strumieniowego na żywo od podstaw, utwórz zapytanie.

    Transmisja strumieniowa na żywo obsługuje zapytania między zasobami dotyczące danych w usłudze Azure Data Explorer. Dowiedz się więcej o zapytaniach między zasobami.

  5. Wybierz pozycję Odtwórz na pasku poleceń.

    Pasek stanu na pasku poleceń wskazuje, czy sesja transmisji strumieniowej na żywo jest uruchomiona, czy wstrzymana. W poniższym przykładzie sesja jest uruchomiona:

    tworzenie sesji transmisji strumieniowej na żywo na podstawie wyszukiwania zagrożeń w usłudze Microsoft Sentinel

  6. Na pasku poleceń wybierz opcję Zapisz.

    Jeśli nie wybierzesz pozycji Wstrzymaj, sesja będzie kontynuowana do momentu wylogowania się z witryny Azure Portal.

Wyświetlanie sesji transmisji strumieniowej na żywo

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie zagrożeń> w usłudze Microsoft Sentinel.>

  2. Wybierz kartę Transmisja strumieniowa na żywo.

  3. Wybierz sesję transmisji strumieniowej na żywo, którą chcesz wyświetlić lub edytować. Na przykład:

    tworzenie sesji transmisji strumieniowej na żywo z zapytania wyszukiwania zagrożeń usługi Microsoft Sentinel

    Wybrana sesja transmisji strumieniowej na żywo zostanie otwarta, aby odtwarzać, wstrzymywać, edytować i tak dalej.

Odbieranie powiadomień o wystąpieniu nowych zdarzeń

Ponieważ powiadomienia transmisji strumieniowej na żywo dla nowych zdarzeń korzystają z powiadomień w witrynie Azure Portal, te powiadomienia są widoczne za każdym razem, gdy używasz witryny Azure Portal. Na przykład:

Powiadomienie w witrynie Azure Portal dotyczące transmisji strumieniowej na żywo

Wybierz powiadomienie, aby otworzyć okienko Transmisji strumieniowej na żywo.

Podnoszenie poziomu sesji transmisji strumieniowej na żywo do alertu

Podwyższ poziom sesji transmisji strumieniowej na żywo do nowego alertu, wybierając pozycję Podnieś poziom do alertu na pasku poleceń w odpowiedniej sesji transmisji strumieniowej na żywo:

Podnoszenie poziomu sesji transmisji strumieniowej na żywo do alertu

Ta akcja powoduje otwarcie kreatora tworzenia reguły, który jest wstępnie wypełniony zapytaniem skojarzonym z sesją transmisji strumieniowej na żywo.

Następne kroki

W tym artykule przedstawiono sposób korzystania z transmisji strumieniowej na żywo wyszukiwania zagrożeń w usłudze Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: