在 Microsoft Sentinel 中使用搜捕即時串流來偵測威脅
使用搜捕即時串流來建立互動式會話,讓您在事件發生時測試新建立的查詢、在找到相符專案時從會話取得通知,並視需要啟動調查。 您可以使用任何 Log Analytics 查詢快速建立即時串流會話。
在事件發生時測試新建立的查詢
您可以測試及調整查詢,而不會與主動套用至事件的目前規則有任何衝突。 確認這些新查詢如預期般運作之後,只要選取將會話提升為警示的選項,即可輕鬆地將其升階為自定義警示規則。
在發生威脅時收到通知
您可以比較威脅數據摘要與匯總的記錄數據,並在發生相符專案時收到通知。 威脅數據摘要是與潛在或目前威脅相關的數據串流,因此通知可能會指出對您組織的潛在威脅。 建立即時串流會話,而不是自定義警示規則,以通知潛在問題,而不需要維護自定義警示規則的額外負荷。
啟動調查
如果有涉及主機或使用者等資產的作用中調查,請在記錄數據中檢視該資產發生時的特定(或任何)活動。 在活動發生時收到通知。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
建立即時串流會話
您可以從現有的搜捕查詢建立即時串流會話,或從頭開始建立會話。
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [威脅管理] 底下,選取 [搜捕]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>威脅管理>搜捕]。若要從搜捕查詢建立即時串流會話:
- 從 [ 查詢] 索引標籤中,找出要使用的搜捕查詢。
- 以滑鼠右鍵按兩下查詢,然後選取[ 新增至即時串流]。 例如:
若要從頭開始建立即時串流會話:
- 選取 [Livestream] 索引標籤。
- 選取 [+ 新增即時串流]。
在 [ Livestream ] 窗格上:
- 如果您從查詢啟動即時串流,請檢閱查詢並進行任何您想要進行的變更。
- 如果您從頭開始即時串流,請建立您的查詢。
Livestream 支援 Azure 數據總管中的數據跨資源查詢 。 深入瞭解跨資源查詢。
從命令行選取 [ 播放 ]。
命令行下的狀態列會指出您的即時串流會話正在執行或暫停。 在下列範例中,會話正在執行:
從命令列選取儲存。
除非您選取 [暫停],否則會話會繼續執行,直到您從 Azure 入口網站 註銷為止。
檢視您的即時串流會話
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [威脅管理] 底下,選取 [搜捕]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>威脅管理>搜捕]。選取 [Livestream] 索引標籤。
選取您想要檢視或編輯的即時串流會話。 例如:
您選取的即時串流會話隨即開啟,讓您播放、暫停、編輯等等。
在發生新事件時接收通知
由於新事件的即時串流通知會使用 Azure 入口網站 通知,因此每當您使用 Azure 入口網站 時,就會看到這些通知。 例如:
選取通知以開啟 [ Livestream ] 窗格。
將即時串流會話提升至警示
從相關即時串流會話的命令行選取 [提升為警示],將即時串流會話升階為新的警示 :
此動作會開啟規則建立精靈,此精靈會預先填入與即時串流會話相關聯的查詢。
下一步
在本文中,您已瞭解如何在 Microsoft Sentinel 中使用搜捕即時串流。 若要深入了解 Microsoft Sentinel,請參閱下列文章: