Share via

Обнаружение угроз с помощью потоковой трансляции охоты в Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Используйте охоту с потоковой передачей в реальном времени для создания интерактивных сеансов, позволяющих проверять созданные запросы при возникновения событий, получения уведомлений из сеансов при обнаружении соответствия, а также выполнения исследований при необходимости. Сеанс с потоковой передачей в реальном времени можно быстро создать с помощью любого запроса Log Analytics.

  • Проверка созданных запросов при возникновении событий

    Можно проверять и корректировать запросы без конфликтов относительно текущих правил, которые активно применяются к событиям. После подтверждения того, что созданные запросы работают должным образом, можно легко повысить их уровень до пользовательских правил генерации оповещений, выбрав параметр, который повышает уровень сеанса до уровня оповещения.

  • Получение уведомления при возникновении угрозы

    Вы можете сравнить веб-каналы данных об угрозах с агрегированными данными журнала и получать уведомления в случае соответствия. Веб-каналы данных об угрозах — это непрерывные потоки данных, связанных с потенциальными или текущими угрозами, поэтому уведомление может указывать на потенциальную угрозу для организации. Создайте сеанс трансляции вместо настраиваемого правила генерации оповещений, чтобы получать уведомления о потенциальной проблеме без дополнительных затрат на обслуживание настраиваемого правила генерации оповещений.

  • Выполнение исследований

    Если существует активное исследование, которое включает в себя ресурс, например узел или пользователь, просмотрите конкретное (или любое) действие в данных журнала, как это происходит в этом ресурсе. Будьте уведомлены при возникновении этого действия.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Создание сеанса с потоковой передачей в реальном времени

Вы можете создать сеанс с потоковой передачей в реальном времени на основе имеющегося запроса охоты или создать сеанс с нуля.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

  2. Создание сеанса с потоковой передачей в реальном времени из запроса охоты:

    1. На вкладке Запросы найдите необходимый запрос охоты.
    2. Щелкните запрос правой кнопкой мыши и выберите Добавить в прямую трансляцию. Например:

    создание сеанса Livestream из запроса поиска Microsoft Sentinel

  3. Создание сеанса с потоковой передачей в реальном времени с нуля:

    1. Выберите вкладку Livestream .
    2. Выберите +Создать трансляцию.

  4. Необходимые действия на панели Прямая трансляция:

    • Если вы начали прямую трансляцию из запроса, проверьте запрос и выполните необходимые изменения.
    • Если вы начали прямую трансляцию с нуля, создайте запрос.

    Livestream поддерживает межресурсные запросы данных в Обозреватель данных Azure. Узнайте больше о запросах между ресурсами.

  5. Выберите Воспроизвести на панели команд.

    В строке состояния на панели команд указывается, выполняется ли сеанс прямой трансляции или приостановлен. В следующем примере сеанс выполняется:

    создание сеанса трансляции из охоты Microsoft Sentinel

  6. На панели команд выберите Сохранить.

    Если вы не выберете "Пауза", сеанс продолжает выполняться до выхода из портал Azure.

Просмотр сеансов прямой трансляции

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

  2. Выберите вкладку Livestream .

  3. Выберите сеанс прямой трансляции, который необходимо просмотреть или изменить. Например:

    создание сеанса потоковой передачи из запроса поиска Microsoft Sentinel

    Откроется выбранный сеанс прямой трансляции для выполнения воспроизведения, приостановки, редактирования и т. д.

Получение уведомлений при возникновении новых событий

Так как при уведомлениях прямой трансляции для новых событий используются уведомления портала Azure, эти уведомления отображаются при использовании портала Azure. Например:

Уведомление портала Azure для прямой трансляции

Выберите уведомление, чтобы открыть панель Прямая трансляция.

Повышение уровня сеанса прямой трансляции до уровня оповещения

Повышение уровня сеанса трансляции до нового оповещения, выбрав "Повышенные привилегии" для оповещения на панели команд в соответствующем сеансе трансляции:

Повышение уровня сеанса прямой трансляции до уровня оповещения

Это действие позволяет открыть мастер создания правил, который предварительно заполняется данными запроса, связанного с сеансом прямой трансляции.

Следующие шаги

Из этой статьи вы узнали, как использовать охоту с потоковой передачей в Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: