在 Microsoft Sentinel 中使用搜寻实时流检测威胁

使用搜寻实时流创建交互式会话，以便在事件发生时测试新创建的查询、在找到匹配项时从会话中获取通知，并在必要时启动调查。 可使用任何 Log Analytics 查询快速创建实时流会话。

注释

本文介绍 Microsoft Sentinel 中的 搜寻 功能，该功能同样存在于 Defender 中。 有关 Microsoft Defender 中的 高级搜寻 ，请参阅 在 Microsoft Defender 中使用高级搜寻主动搜寻威胁。

重要

Microsoft Sentinel 在 Microsoft Defender 门户中正式发布，包括没有 Microsoft Defender XDR 或 E5 许可证的客户。

从 2026 年 7 月开始，Microsoft Sentinel仅在 Defender 门户中受支持，并且将自动重定向使用 Azure 门户 的任何剩余客户。

建议在 Azure 中使用 Microsoft Sentinel 的任何客户开始计划 过渡到 Defender 门户 ，以获取 Microsoft Defender 提供的完整统一安全作体验。 有关详细信息，请参阅 为所有Microsoft Sentinel 客户规划迁移到 Microsoft Defender 门户。

创建实时流会话

可从现有搜寻查询创建实时流会话，也可从头开始创建会话。

1. 对于 Azure 门户中的 Microsoft Sentinel，请在“威胁管理”下选择“搜寻”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”“威胁管理”>“搜寻”>。 请确保选择“ 搜寻”，而不是 “高级搜寻”。

2. 若要从搜寻查询中创建实时流会话：

   1. 从“查询”选项卡中，找到要使用的搜寻查询。
   2. 右键单击该查询，然后选择“添加到实时流”。 例如：

   

3. 若要从头开始创建实时流会话：

   1. 选择“实时流”选项卡。
   2. 选择“+ 新建实时流”。

4. 在“实时流”窗格中：

   • 如果从查询中启动实时流，请查看该查询并进行所需的更改。
   • 如果从头开始启动实时流，请创建查询。

   实时流支持在 Azure 数据资源管理器中跨资源查询数据。 详细了解跨资源查询。

5. 从命令栏中选择“播放”。

   命令栏下的状态栏指示实时流会话是正在运行还是已暂停。 在以下示例中，会话正在运行：

   

6. 从命令栏中选择“保存”。

   除非选择“暂停”，否则会话将继续运行，直到你从 Azure 门户注销为止。

查看实时流会话

在“搜寻”“实时流””选项卡上查找实时流会话。>

1. 对于 Azure 门户中的 Microsoft Sentinel，请在“威胁管理”下选择“搜寻”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”“威胁管理”>“搜寻”>。

2. 选择“实时流”选项卡。

3. 选择要查看或编辑的实时流会话。 例如：

   

   你选择的实时流会话将打开，供你执行播放、暂停和编辑等操作。

发生新事件时接收通知

新事件的实时流通知随 Azure 或 Defender 门户通知一起显示。 例如：

1. 在 Azure 或 Defender 门户中，转到门户页面右上角的通知。
2. 选择通知，打开“实时流”窗格。

将实时流会话提升为警报

在实时流会话上的命令栏中选择“提升为警报”，将相关实时流会话提升为新的警报：

此操作将打开规则创建向导，其中预填充了与实时流会话关联的查询。

后续步骤

本文介绍了如何在 Microsoft Sentinel 中使用搜寻实时流。 若要详细了解 Microsoft Sentinel，请参阅以下文章：

• 主动搜寻威胁
• 使用笔记本运行自动搜寻活动