Önceki

Sonraki

Canlı akış ile zaman içinde ortaya çıkan tehditleri gözlemleme

Tamamlandı

Canlı olaylar sırasında sorguları canlı olaylara karşı test etmek için avlanma canlı akışını kullanabilirsiniz. Livestream, Microsoft Sentinel sorgunuz için eşleşen olayları bulduğunda sizi bilgilendirebilecek etkileşimli oturumlar sağlar.

Canlı akışlar her zaman bir sorguyu temel alır. Genellikle, akış günlüğü olaylarını daraltmak için sorguyu kullanırsınız, böylece yalnızca tehdit avcılığı çabalarınızla ilgili olaylar görünür. Canlı akış kullanarak şunları yapabilirsiniz:

• Yeni sorguları canlı olaylarla test etme.
• Tehditler için bildirim oluşturma.
• Araştırma başlatma.

Canlı akış sorguları 30 saniyede bir yenilenir ve sorgudan elde edilen yeni sonuçlar için Azure bildirimleri oluşturulur.

Canlı akış oluşturma

Microsoft Sentinel'deki Tehdit Avcılığı sayfasından canlı akış oluşturmak için Canlı Akış sekmesini ve ardından araç çubuğundan Yeni canlı akış'ı seçin.

Dekont

Canlı akış sorguları canlı ortamınızda sürekli olarak çalıştırıldığından canlı akış sorgusunda zaman parametrelerini kullanamazsınız.

Canlı akışı görüntüleme

Yeni Canlı Akış sayfasında, canlı akış oturumu için bir ad ve oturum için sonuçlar sağlayan sorguyu belirtin. Canlı akış etkinliklerine yönelik bildirimler, Azure portalı bildirimlerinizde görünür.

Canlı akışı yönetme

Canlı akışı yürüterek sonuçları gözden geçirebilir veya canlı akışı daha sonra incelemek üzere kaydedebilirsiniz. Kaydedilen canlı akış oturumları, Tehdit Avcılığı sayfasındaki Canlı Akış sekmesinden görüntülenebilir. Ayrıca bir canlı akış oturumundaki olayları seçip komut çubuğundan Uyarıya yükselt'i belirleyerek ilgili olayı uyarı haline getirebilirsiniz.

Azure kaynak silmeye yönelik temel etkinlikleri izlemek ve izlenmesi gereken diğer Azure kaynaklarını belirlemek için bir canlı akış kullanabilirsiniz. Örneğin, aşağıdaki sorgu silinen bir kaynağı kaydeden tüm Azure Etkinliği olaylarını döndürür:

  AzureActivity
  | where OperationName has 'delete'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

Canlı akış sorgusunu kullanarak analiz kuralı oluşturma

Sorgu önemli sonuçlar döndürüyorsa, sorguyu temel alan bir analiz kuralı oluşturmak için komut çubuğundan Analiz kuralı oluştur'u seçebilirsiniz. Kural belirli kaynakları tanımlamak için sorguyu iyileştirdikten sonra, kaynaklar silindiğinde uyarılar veya olaylar oluşturabilir.

Aşağıdaki soru için en iyi yanıtı seçin ve ardından Yanıtlarınızı denetleyin'i seçin.

Bilgilerinizi kontrol edin

1.

Aşağıdakilerden hangisi canlı akış sorgusunda kullanılamaz?

Zaman parametreleri

Uyarı verisi parametreleri

Olay varlıkları

Çalışmanızı denetlemeden önce tüm soruları yanıtlamalısınız.

Devam et