Share via

Detectar ameaças usando a transmissão ao vivo de busca no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Use a transmissão ao vivo de busca para criar sessões interativas que permitem que você teste consultas recém-criadas à medida que ocorrerem eventos, receba notificações das sessões quando uma correspondência for encontrada e inicie investigações, se necessário. Você pode criar rapidamente uma sessão transmissão ao vivo usando qualquer consulta do Log Analytics.

  • Testar as consultas recém-criadas conforme os eventos ocorrem

    Você pode testar e ajustar as consultas sem conflitos com as regras atuais que estão sendo aplicadas ativamente aos eventos. Depois de confirmar que essas novas consultas funcionam conforme o esperado, é fácil promovê-las para regras de alerta personalizadas, selecionando uma opção que eleva a sessão a um alerta.

  • Receba notificações quando as ameaças ocorrerem

    Você pode comparar feeds de dados de ameaça a dados de log agregados e receber notificações quando ocorrer uma correspondência. Os feeds de dados de ameaça são fluxos contínuos de dados relacionados a ameaças potenciais ou atuais, portanto, a notificação pode indicar uma possível ameaça à sua organização. Crie uma sessão de transmissão ao vivo em vez de uma regra de alerta personalizada para receber notificações sobre um possível problema sem ter despesas relacionadas à manutenção de uma regra de alerta personalizada.

  • Iniciar investigações

    Se houver uma investigação em andamento que envolva um ativo, como um host ou usuário, confira atividades específicas (ou qualquer atividade) nos dados de log conforme elas ocorrem no ativo. Receba notificações quando a atividade ocorrer.

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Criar uma sessão de transmissão ao vivo

Você pode criar uma sessão de transmissão ao vivo de uma consulta de busca existente ou criar sua sessão do zero.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Busca.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de ameaças>Busca.

  2. Para criar uma sessão de transmissão ao vivo de uma consulta de busca:

    1. Na guia Consultas, localize a consulta de busca a ser usada.
    2. Clique com o botão direito do mouse na consulta e selecione Adicionar à transmissão ao vivo. Por exemplo:

    Criar uma sessão de transmissão ao vivo da consulta de busca do Microsoft Sentinel

  3. Para criar uma sessão de transmissão ao vivo do zero:

    1. Selecione a guia Transmissão ao vivo.
    2. Clique em + Nova transmissão ao vivo.

  4. No painel Transmissão ao vivo:

    • Se você iniciou o transmissão ao vivo de uma consulta, examine a consulta e faça as alterações que desejar.
    • Se você iniciou a transmissão ao vivo do zero, crie sua consulta.

    A transmissão ao vivo é compatível com consultas entre recursos de dados no Azure Data Explorer. Saiba mais sobre as consultas entre recursos.

  5. Selecione Executar na barra de comandos.

    A barra de status na barra de comandos indica se a sessão de transmissão ao vivo está em execução ou em pausa. No seguinte exemplo, a sessão está em execução:

    Criar uma sessão de transmissão ao vivo da busca do Microsoft Sentinel

  6. Selecione Salvar na barra de comandos.

    Se você não selecionar Pausar, a sessão continuará em execução até que você saia do portal do Azure.

Exibir suas sessões de transmissão ao vivo

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Busca.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de ameaças>Busca.

  2. Selecione a guia Transmissão ao vivo.

  3. Selecione a sessão de transmissão ao vivo que você deseja ver o editar. Por exemplo:

    Criar uma sessão de transmissão ao vivo da consulta de busca do Microsoft Sentinel

    A sessão de transmissão ao vivo selecionada é aberta para execução, pausa, edição e assim por diante.

Receber notificações quando novos eventos ocorrerem

Como as notificações de transmissão ao vivo para novos eventos usam notificações do portal do Azure, você vê essas notificações sempre que usa o portal do Azure. Por exemplo:

Notificação do portal do Azure para transmissão ao vivo

Selecione a notificação para abrir o painel Transmissão ao vivo.

Elevar uma sessão de transmissão ao vivo a um alerta

Promova uma sessão de transmissão ao vivo para um novo alerta selecionando Definir como alerta na barra de comando da sessão de transmissão ao vivo relevante:

Elevar uma sessão de transmissão ao vivo a um alerta

Esta ação abre o assistente de criação de regras, que é preenchido previamente com a consulta associada à sessão de transmissão ao vivo.

Próximas etapas

Neste artigo, você aprendeu a usar a transmissão ao vivo de busca no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: