使用搜捕即時資料流可建立互動式工作階段,讓您在事件發生時測試新建立的查詢、找到相符項目時取得工作階段通知,並視需要啟動調查。 您可使用任何 Log Analytics 查詢,以快速建立即時資料流工作階段。
重要
Microsoft Sentinel 已在 Microsoft Defender 入口網站全面推出,包括對於沒有 Microsoft Defender XDR 或 E5 授權的客戶。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
如何建立即時資料流工作階段
您可從現有的搜捕查詢建立即時資料流工作階段,或從頭開始建立工作階段。
針對 Azure 入口中的 Microsoft Sentinel,在 威脅管理 之下,選取 偵察。
在 Defender 入口網站中,選取 Microsoft Sentinel>威脅管理>狩獵。若要從搜捕查詢建立即時資料流工作階段:
- 從 [ 查詢] 索引標籤中,找出要使用的搜捕查詢。
- 以滑鼠右鍵按兩下查詢,然後選取 [新增至即時串流]。 例如:
若要從頭開始建立即時資料流工作階段:
- 選取 [即時資料流] 索引標籤。
- 按一下 [+ 新增即時資料流]。
在 [ Livestream ] 窗格上:
- 若是從查詢開始建立即時資料流,請檢閱查詢,並進行所需的任何變更。
- 若是從頭開始建立即時資料流,請建立查詢。
Livestream 支援 Azure 數據總管中的數據 跨資源查詢 。 深入瞭解跨資源查詢。
從命令行選取 [播放 ]。
命令列下的狀態列會表示即時資料流工作階段為執行中或已暫停。 在下列範例中,工作階段為執行中:
從 Microsoft Sentinel 探索中創建即時串流會話
從命令行選取 [ 儲存 ]。
除非選取 [暫停],否則工作階段會持續執行到登出 Azure 入口網站為止。
檢視您的即時資料流工作階段
在 [搜捕]>[即時串流] 索引標籤上尋找您的即時串流工作階段。
針對 Azure 入口中的 Microsoft Sentinel,在 威脅管理 之下,選取 偵察。
在 Defender 入口網站中,選取 Microsoft Sentinel>威脅管理>狩獵。選取 [即時資料流] 索引標籤。
選取要檢視或編輯的即時資料流工作階段。 例如:
隨即開啟所選的即時資料流工作階段,可供播放、暫停、編輯等。
在發生新事件時接收通知
新事件的即時串流通知會出現在 Azure 或 Defender 入口網站通知中。 例如:
- 在 Azure 或 Defender 入口網站中,移至入口網站頁面右上方的通知。
- 選取通知以開啟 [Livestream ] 窗格。
將即時資料流工作階段提升為警示
從相關的即時資料流工作階段命令列選取 [提升為警示],將即時資料流工作階段升階為新警示:
此動作會開啟規則建立精靈,並已預先填入該即時資料流工作階段的相關查詢。
下一步
在本文中,您已了解如何在 Microsoft Sentinel 中使用搜捕即時資料流。 若要深入了解 Microsoft Sentinel,請參閱下列文章: