Udostępnij za pośrednictwem

Wykrywanie zagrożeń przy użyciu transmisji strumieniowej na żywo wyszukiwania zagrożeń w usłudze Microsoft Sentinel

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Wyszukiwanie zagrożeń na żywo umożliwia tworzenie interakcyjnych sesji, które umożliwiają testowanie nowo utworzonych zapytań w miarę występowania zdarzeń, otrzymywanie powiadomień z sesji po znalezieniu dopasowania i uruchamianie badań w razie potrzeby. Możesz szybko utworzyć sesję transmisji strumieniowej na żywo przy użyciu dowolnego zapytania usługi Log Analytics.

Uwaga / Notatka

Ten artykuł dotyczy polowania w usłudze Microsoft Sentinel, które działa także w usłudze Defender. Aby uzyskać zaawansowane wyszukiwanie zagrożeń w usłudze Microsoft Defender, zobacz Proaktywne wyszukiwanie zagrożeń za pomocą zaawansowanego wyszukiwania zagrożeń w usłudze Microsoft Defender.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Tworzenie sesji transmisji strumieniowej na żywo

Możesz utworzyć sesję transmisji strumieniowej na żywo na podstawie istniejącego zapytania wyszukiwania zagrożeń lub utworzyć sesję od podstaw.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Zarządzanie zagrożeniami>Wyszukiwanie. Upewnij się, że wybrano Hunting, a nie Advanced hunting.

  2. Aby utworzyć sesję transmisji strumieniowej na żywo na podstawie zapytania wyszukiwania zagrożeń:

    1. Na karcie Zapytania znajdź zapytanie analityczne do wykorzystania.
    2. Kliknij prawym przyciskiem myszy zapytanie i wybierz polecenie Dodaj do transmisji strumieniowej na żywo. Na przykład:

    tworzenie sesji transmisji strumieniowej na żywo na podstawie zapytania łowieckiego usługi Microsoft Sentinel

  3. Aby utworzyć sesję transmisji strumieniowej na żywo od podstaw:

    1. Wybierz kartę Transmisja strumieniowa na żywo .
    2. Wybierz + Nowa transmisja strumieniowa na żywo.

  4. W okienku Transmisji strumieniowej na żywo :

    • Jeśli uruchomiono transmisję strumieniową na żywo z zapytania, przejrzyj zapytanie i wprowadź wszelkie zmiany, które chcesz wprowadzić.
    • Jeśli rozpoczęto transmisję strumienia strumieniowego na żywo od podstaw, utwórz zapytanie.

    Transmisja strumieniowa na żywo obsługuje zapytania między zasobami dotyczące danych w usłudze Azure Data Explorer. Dowiedz się więcej o zapytaniach między zasobami.

  5. Wybierz pozycję Odtwórz na pasku poleceń.

    Pasek stanu na pasku poleceń wskazuje, czy sesja transmisji strumieniowej na żywo jest uruchomiona, czy wstrzymana. W poniższym przykładzie sesja jest uruchomiona:

    utwórz sesję livestream z polowania w Microsoft Sentinel

  6. Wybierz pozycję Zapisz na pasku poleceń.

    Jeśli nie wybierzesz pozycji Wstrzymaj, sesja będzie kontynuowana do momentu wylogowania się z witryny Azure Portal.

Wyświetlanie sesji transmisji strumieniowej na żywo

Znajdź sesje transmisji strumieniowej na żywo na karcie Wyszukiwanie> transmisjistrumieniowej na żywo.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Zarządzanie zagrożeniami>Wyszukiwanie.

  2. Wybierz kartę Transmisja strumieniowa na żywo .

  3. Wybierz sesję transmisji strumieniowej na żywo, którą chcesz wyświetlić lub edytować. Na przykład:

    tworzenie sesji transmisji strumieniowej na żywo z zapytania wyszukiwania zagrożeń usługi Microsoft Sentinel

    Wybrana sesja transmisji strumieniowej na żywo zostanie otwarta, aby odtwarzać, wstrzymywać, edytować i tak dalej.

Odbieranie powiadomień o wystąpieniu nowych zdarzeń

Powiadomienia transmisji strumieniowej na żywo dotyczące nowych zdarzeń są wyświetlane z powiadomieniami w portalu Azure lub Defender. Na przykład:

Powiadomienie w witrynie Azure Portal dotyczące transmisji strumieniowej na żywo

  1. W witrynie Azure lub Defender Portal przejdź do powiadomień w prawej górnej części strony portalu.
  2. Wybierz powiadomienie, aby otworzyć okienko Transmisji strumieniowej na żywo .

Podnoszenie poziomu sesji transmisji strumieniowej na żywo do alertu

Podwyższ poziom sesji transmisji strumieniowej na żywo do nowego alertu, wybierając pozycję Podnieś poziom do alertu na pasku poleceń w odpowiedniej sesji transmisji strumieniowej na żywo:

Podnieś sesję transmisji na żywo do alertu

Ta akcja powoduje otwarcie kreatora tworzenia reguły, który jest wstępnie wypełniony zapytaniem skojarzonym z sesją transmisji strumieniowej na żywo.

Następne kroki

W tym artykule przedstawiono sposób korzystania z transmisji strumieniowej na żywo wyszukiwania zagrożeń w usłudze Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: