在 Microsoft Sentinel 中使用搜捕即時串流來偵測威脅

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用搜捕即時串流來建立互動式會話，讓您在事件發生時測試新建立的查詢、在找到相符專案時從會話取得通知，並視需要啟動調查。 您可以使用任何 Log Analytics 查詢快速建立即時串流會話。

• 在事件發生時測試新建立的查詢

  您可以測試及調整查詢，而不會與主動套用至事件的目前規則有任何衝突。 確認這些新查詢如預期般運作之後，只要選取將會話提升為警示的選項，即可輕鬆地將其升階為自定義警示規則。

• 在發生威脅時收到通知

  您可以比較威脅數據摘要與匯總的記錄數據，並在發生相符專案時收到通知。 威脅數據摘要是與潛在或目前威脅相關的數據串流，因此通知可能會指出對您組織的潛在威脅。 建立即時串流會話，而不是自定義警示規則，以通知潛在問題，而不需要維護自定義警示規則的額外負荷。

• 啟動調查

  如果有涉及主機或使用者等資產的作用中調查，請在記錄數據中檢視該資產發生時的特定（或任何）活動。 在活動發生時收到通知。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

建立即時串流會話

您可以從現有的搜捕查詢建立即時串流會話，或從頭開始建立會話。

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [威脅管理] 底下，選取 [搜捕]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>威脅管理>搜捕]。

2. 若要從搜捕查詢建立即時串流會話：

   1. 從 [ 查詢] 索引標籤中，找出要使用的搜捕查詢。
   2. 以滑鼠右鍵按兩下查詢，然後選取[ 新增至即時串流]。 例如：

   

3. 若要從頭開始建立即時串流會話：

   1. 選取 [Livestream] 索引標籤。
   2. 選取 [+ 新增即時串流]。

4. 在 [ Livestream ] 窗格上：

   • 如果您從查詢啟動即時串流，請檢閱查詢並進行任何您想要進行的變更。
   • 如果您從頭開始即時串流，請建立您的查詢。

   Livestream 支援 Azure 數據總管中的數據跨資源查詢 。 深入瞭解跨資源查詢。

5. 從命令行選取 [ 播放 ]。

   命令行下的狀態列會指出您的即時串流會話正在執行或暫停。 在下列範例中，會話正在執行：

   

6. 從命令列選取儲存。

   除非您選取 [暫停]，否則會話會繼續執行，直到您從 Azure 入口網站 註銷為止。

檢視您的即時串流會話

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [威脅管理] 底下，選取 [搜捕]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>威脅管理>搜捕]。

2. 選取 [Livestream] 索引標籤。

3. 選取您想要檢視或編輯的即時串流會話。 例如：

   

   您選取的即時串流會話隨即開啟，讓您播放、暫停、編輯等等。

在發生新事件時接收通知

由於新事件的即時串流通知會使用 Azure 入口網站 通知，因此每當您使用 Azure 入口網站 時，就會看到這些通知。 例如：

選取通知以開啟 [ Livestream ] 窗格。

將即時串流會話提升至警示

從相關即時串流會話的命令行選取 [提升為警示]，將即時串流會話升階為新的警示 ：

此動作會開啟規則建立精靈，此精靈會預先填入與即時串流會話相關聯的查詢。

下一步

在本文中，您已瞭解如何在 Microsoft Sentinel 中使用搜捕即時串流。 若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 主動搜捕威脅
• 使用筆記本執行自動化搜捕活動