Anterior

Avançar

Ver as ameaças ao longo do tempo com as transmissões ao vivo

Concluído

Use a transmissão ao vivo de busca para testar as consultas em eventos ao vivo conforme eles ocorrem. A transmissão ao vivo fornece sessões interativas que podem notificar você quando o Microsoft Sentinel encontra eventos correspondentes à consulta.

Uma transmissão ao vivo sempre é baseada em uma consulta. Normalmente, a consulta é usada para restringir os eventos de log de streaming, de modo que somente os eventos relacionados aos seus esforços de busca por ameaças sejam exibidos. Você pode usar uma transmissão ao vivo para:

• Testar novas consultas em eventos ao vivo.
• Gerar notificações de ameaças.
• Iniciar investigações.

As consultas de transmissão ao vivo são atualizadas a cada 30 segundos e geram notificações do Azure de quaisquer novos resultados da consulta.

Criar uma transmissão ao vivo

Para criar uma transmissão ao vivo na página de Busca do Microsoft Sentinel, selecione a guia Transmissão ao vivo e escolha Nova transmissão ao vivo na barra de ferramentas.

Observação

As consultas de transmissão ao vivo são executadas continuamente no ambiente dinâmico. Portanto, não é possível usar parâmetros de tempo em uma consulta de transmissão ao vivo.

Exibir uma transmissão ao vivo

Na nova página Transmissão ao vivo, especifique um nome para a sessão de transmissão ao vivo e a consulta para fornecer resultados para a sessão. As notificações para eventos de transmissão ao vivo aparecerão nas notificações do portal do Azure.

Gerenciar uma transmissão ao vivo

Você pode reproduzir a transmissão ao vivo para examinar os resultados ou salvá-la para consulta posterior. As sessões de transmissão ao vivo salvas podem ser exibidas na guia Transmissão ao vivo da página Busca. Você também pode elevar eventos de uma sessão de transmissão ao vivo para um alerta selecionando os eventos e, em seguida, selecionando Elevar para alertar na barra de comandos.

Você pode usar uma transmissão ao vivo para acompanhar as atividades de linha de base para a exclusão de recursos do Azure identificar outros recursos do Azure que devem ser acompanhados. Por exemplo, a consulta a seguir retorna quaisquer eventos de atividade do Azure que registraram um recurso excluído:

  AzureActivity
  | where OperationName has 'delete'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

Usar uma consulta de transmissão ao vivo para criar uma regra de análise

Se a consulta retornar resultados significativos, selecione Criar regra de análise na barra de comandos para criar uma regra de análise com base na consulta. Depois que a regra refina a consulta para identificar os recursos específicos, ela pode gerar alertas ou incidentes quando os recursos são excluídos.

Escolha a melhor resposta para a pergunta a seguir e selecione Verificar suas respostas.

Verificar seu conhecimento

1.

Qual das alternativas a seguir não pode ser usada em uma consulta de transmissão ao vivo?

Parâmetros de tempo

Parâmetros de dados de alerta

Entidades de evento

É necessário responder a todas as perguntas antes de verificar o trabalho.

Continuar