Share via

Detetar ameaças usando a transmissão ao vivo de caça no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Use a transmissão ao vivo de caça para criar sessões interativas que permitem testar consultas recém-criadas à medida que os eventos ocorrem, receber notificações das sessões quando uma correspondência é encontrada e iniciar investigações, se necessário. Você pode criar rapidamente uma sessão de transmissão ao vivo usando qualquer consulta do Log Analytics.

  • Testar consultas recém-criadas à medida que os eventos ocorrem

    Você pode testar e ajustar consultas sem conflitos com as regras atuais que estão sendo aplicadas ativamente aos eventos. Depois de confirmar que essas novas consultas funcionam conforme o esperado, é fácil promovê-las para regras de alerta personalizadas selecionando uma opção que eleva a sessão a um alerta.

  • Seja notificado quando ocorrerem ameaças

    Você pode comparar feeds de dados de ameaças com dados de log agregados e ser notificado quando ocorrer uma correspondência. Os feeds de dados de ameaças são fluxos contínuos de dados relacionados a ameaças potenciais ou atuais, portanto, a notificação pode indicar uma ameaça potencial à sua organização. Crie uma sessão de transmissão ao vivo em vez de uma regra de alerta personalizada para ser notificado de um problema potencial sem as despesas gerais de manter uma regra de alerta personalizada.

  • Iniciar investigações

    Se houver uma investigação ativa que envolva um ativo, como um host ou usuário, exiba atividades específicas (ou algumas) nos dados de log como elas ocorrem nesse ativo. Seja notificado quando essa atividade ocorrer.

Importante

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Criar uma sessão de transmissão ao vivo

Você pode criar uma sessão de transmissão ao vivo a partir de uma consulta de caça existente ou criar sua sessão do zero.

  1. Para Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.

  2. Para criar uma sessão de transmissão ao vivo a partir de uma consulta de caça:

    1. Na guia Consultas, localize a consulta de caça a ser usada.
    2. Clique com o botão direito do mouse na consulta e selecione Adicionar ao livestream. Por exemplo:

    criar sessão Livestream a partir da consulta de caça do Microsoft Sentinel

  3. Para criar uma sessão de transmissão ao vivo a partir do zero:

    1. Selecione a guia Livestream .
    2. Selecione + Nova transmissão ao vivo.

  4. No painel Livestream:

    • Se você iniciou a transmissão ao vivo a partir de uma consulta, revise a consulta e faça as alterações que deseja fazer.
    • Se você começou a transmissão ao vivo do zero, crie sua consulta.

    O Livestream dá suporte a consultas de dados entre recursos no Azure Data Explorer. Saiba mais sobre consultas entre recursos.

  5. Selecione Reproduzir na barra de comandos.

    A barra de status sob a barra de comandos indica se sua sessão de transmissão ao vivo está em execução ou pausada. No exemplo a seguir, a sessão está em execução:

    criar sessão de transmissão ao vivo a partir da caça ao Microsoft Sentinel

  6. Selecione Guardar na barra de comando.

    A menos que você selecione Pausar, a sessão continuará a ser executada até que você saia do portal do Azure.

Veja as suas sessões de transmissão em direto

  1. Para Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.

  2. Selecione a guia Livestream .

  3. Selecione a sessão de transmissão ao vivo que deseja visualizar ou editar. Por exemplo:

    criar sessão de transmissão ao vivo a partir da consulta de caça do Microsoft Sentinel

    Sua sessão de transmissão ao vivo selecionada é aberta para você reproduzir, pausar, editar e assim por diante.

Receba notificações quando ocorrerem novos eventos

Como as notificações de transmissão ao vivo para novos eventos usam notificações do portal do Azure, você vê essas notificações sempre que usa o portal do Azure. Por exemplo:

Notificação do portal do Azure para transmissão ao vivo

Selecione a notificação para abrir o painel Livestream .

Elevar uma sessão de transmissão ao vivo a um alerta

Promova uma sessão de transmissão ao vivo para um novo alerta selecionando Elevar para alerta na barra de comandos na sessão de transmissão ao vivo relevante:

Eleve a sessão de transmissão ao vivo a um alerta

Esta ação abre o assistente de criação de regras, que é pré-preenchido com a consulta associada à sessão de transmissão ao vivo.

Próximos passos

Neste artigo, você aprendeu como usar a transmissão ao vivo de caça no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: