Поделиться через

Обнаружение угроз с помощью потоковой трансляции охоты в Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Используйте охоту с потоковой передачей в реальном времени для создания интерактивных сеансов, позволяющих проверять созданные запросы при возникновения событий, получения уведомлений из сеансов при обнаружении соответствия, а также выполнения исследований при необходимости. Сеанс с потоковой передачей в реальном времени можно быстро создать с помощью любого запроса Log Analytics.

Замечание

Трансляции Microsoft Sentinel больше не будут доступны с середины марта 2026 года. Чтобы автоматизировать запросы и уведомления, используйте задания KQL, правила аналитики или сборники схем. Эти альтернативные варианты предлагают постоянные результаты запросов и поддержку различных платформ обмена сообщениями.

В этой статье описывается охота в Microsoft Sentinel, которая также существует в Defender. Дополнительные сведения о расширенной охоте в Microsoft Defender см. в статье "Упреждающая охота на угрозы с расширенной охотой в Microsoft Defender".

Внимание

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.

Создание сеанса с потоковой передачей в реальном времени

Вы можете создать сеанс с потоковой передачей в реальном времени на основе имеющегося запроса охоты или создать сеанс с нуля.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft SentinelThreat Management>> Убедитесь, что вы выбрали 'Охота', а не 'Расширенная охота'.

  2. Создание сеанса с потоковой передачей в реальном времени из запроса охоты:

    1. На вкладке Запросы найдите необходимый запрос охоты.
    2. Щелкните запрос правой кнопкой мыши и выберите Добавить в прямую трансляцию. Например:

    создание сеанса Livestream из запроса поиска Microsoft Sentinel

  3. Создание сеанса с потоковой передачей в реальном времени с нуля:

    1. Выберите вкладку Livestream .
    2. Выберите +Создать трансляцию.

  4. Необходимые действия на панели Прямая трансляция:

    • Если вы начали прямую трансляцию из запроса, проверьте запрос и выполните необходимые изменения.
    • Если вы начали прямую трансляцию с нуля, создайте запрос.

    Livestream поддерживает межресурсные запросы данных в Azure Data Explorer. Узнайте больше о запросах между ресурсами.

  5. Выберите Воспроизвести на панели команд.

    В строке состояния на панели команд указывается, выполняется ли сеанс прямой трансляции или приостановлен. В следующем примере сеанс выполняется:

    создание сеанса трансляции из охоты Microsoft Sentinel

  6. На панели команд выберите Сохранить.

    Если вы не выберете "Пауза", сеанс продолжает выполняться до выхода из портал Azure.

Просмотр сеансов прямой трансляции

Найдите сеансы трансляции на вкладке "Охота>livestream".

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft SentinelThreat Management>>

  2. Выберите вкладку Livestream .

  3. Выберите сеанс прямой трансляции, который необходимо просмотреть или изменить. Например:

    создание сеанса потоковой передачи из запроса поиска Microsoft Sentinel

    Откроется выбранный сеанс прямой трансляции для выполнения воспроизведения, приостановки, редактирования и т. д.

Получение уведомлений при возникновении новых событий

Уведомления livestream для новых событий отображаются с уведомлениями портала Azure или Defender. Например:

Уведомление портала Azure для прямой трансляции

  1. На портале Azure или Defender перейдите к уведомлениям в верхней правой части страницы портала.
  2. Выберите уведомление, чтобы открыть панель Прямая трансляция.

Повышение уровня сеанса прямой трансляции до уровня оповещения

Повышение уровня сеанса трансляции до нового оповещения, выбрав "Повышенные привилегии" для оповещения на панели команд в соответствующем сеансе трансляции:

Повышение уровня сеанса прямой трансляции до уровня оповещения

Это действие позволяет открыть мастер создания правил, который предварительно заполняется данными запроса, связанного с сеансом прямой трансляции.

Следующие шаги

Из этой статьи вы узнали, как использовать охоту с потоковой передачей в Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

  • Last updated on