Detectar ameaças usando a transmissão ao vivo de busca no Microsoft Sentinel
Use a transmissão ao vivo de busca para criar sessões interativas que permitem que você teste consultas recém-criadas à medida que ocorrerem eventos, receba notificações das sessões quando uma correspondência for encontrada e inicie investigações, se necessário. Você pode criar rapidamente uma sessão transmissão ao vivo usando qualquer consulta do Log Analytics.
Importante
O Microsoft Sentinel está disponível como parte da plataforma de operações de segurança unificada no portal do Microsoft Defender. O Microsoft Sentinel no portal do Defender agora tem suporte para uso em produção. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.
Criar uma sessão de transmissão ao vivo
Você pode criar uma sessão de transmissão ao vivo de uma consulta de busca existente ou criar sua sessão do zero.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Busca.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de ameaças>Busca.Para criar uma sessão de transmissão ao vivo de uma consulta de busca:
- Na guia Consultas, localize a consulta de busca a ser usada.
- Clique com o botão direito do mouse na consulta e selecione Adicionar à transmissão ao vivo. Por exemplo:
Para criar uma sessão de transmissão ao vivo do zero:
- Selecione a guia Transmissão ao vivo.
- Clique em + Nova transmissão ao vivo.
No painel Transmissão ao vivo:
- Se você iniciou o transmissão ao vivo de uma consulta, examine a consulta e faça as alterações que desejar.
- Se você iniciou a transmissão ao vivo do zero, crie sua consulta.
A transmissão ao vivo é compatível com consultas entre recursos de dados no Azure Data Explorer. Saiba mais sobre as consultas entre recursos.
Selecione Executar na barra de comandos.
A barra de status na barra de comandos indica se a sessão de transmissão ao vivo está em execução ou em pausa. No seguinte exemplo, a sessão está em execução:
Selecione Salvar na barra de comandos.
Se você não selecionar Pausar, a sessão continuará em execução até que você saia do portal do Azure.
Exibir suas sessões de transmissão ao vivo
Localize suas sessões de transmissão ao vivo na guia Buscar>Livestream.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Busca.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de ameaças>Busca.Selecione a guia Transmissão ao vivo.
Selecione a sessão de transmissão ao vivo que você deseja ver o editar. Por exemplo:
A sessão de transmissão ao vivo selecionada é aberta para execução, pausa, edição e assim por diante.
Receber notificações quando novos eventos ocorrerem
As notificações de transmissão ao vivo para novos eventos aparecem com as notificações do portal do Azure ou do Defender. Por exemplo:
- No portal do Azure ou do Defender, vá para as notificações no lado superior direito da página do portal.
- Selecione a notificação para abrir o painel Transmissão ao vivo.
Elevar uma sessão de transmissão ao vivo a um alerta
Promova uma sessão de transmissão ao vivo para um novo alerta selecionando Definir como alerta na barra de comando da sessão de transmissão ao vivo relevante:
Esta ação abre o assistente de criação de regras, que é preenchido previamente com a consulta associada à sessão de transmissão ao vivo.
Próximas etapas
Neste artigo, você aprendeu a usar a transmissão ao vivo de busca no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: