Обнаружение угроз с помощью потоковой трансляции охоты в Microsoft Sentinel
Используйте охоту с потоковой передачей в реальном времени для создания интерактивных сеансов, позволяющих проверять созданные запросы при возникновения событий, получения уведомлений из сеансов при обнаружении соответствия, а также выполнения исследований при необходимости. Сеанс с потоковой передачей в реальном времени можно быстро создать с помощью любого запроса Log Analytics.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Создание сеанса с потоковой передачей в реальном времени
Вы можете создать сеанс с потоковой передачей в реальном времени на основе имеющегося запроса охоты или создать сеанс с нуля.
Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.Создание сеанса с потоковой передачей в реальном времени из запроса охоты:
- На вкладке Запросы найдите необходимый запрос охоты.
- Щелкните запрос правой кнопкой мыши и выберите Добавить в прямую трансляцию. Например:
Создание сеанса с потоковой передачей в реальном времени с нуля:
- Выберите вкладку Livestream .
- Выберите +Создать трансляцию.
Необходимые действия на панели Прямая трансляция:
- Если вы начали прямую трансляцию из запроса, проверьте запрос и выполните необходимые изменения.
- Если вы начали прямую трансляцию с нуля, создайте запрос.
Livestream поддерживает межресурсные запросы данных в Azure Data Explorer. Узнайте больше о запросах между ресурсами.
Выберите Воспроизвести на панели команд.
В строке состояния на панели команд указывается, выполняется ли сеанс прямой трансляции или приостановлен. В следующем примере сеанс выполняется:
На панели команд выберите Сохранить.
Если вы не выберете "Пауза", сеанс продолжает выполняться до выхода из портал Azure.
Просмотр сеансов прямой трансляции
Найдите сеансы трансляции на вкладке "Охота>livestream".
Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.Выберите вкладку Livestream .
Выберите сеанс прямой трансляции, который необходимо просмотреть или изменить. Например:
Откроется выбранный сеанс прямой трансляции для выполнения воспроизведения, приостановки, редактирования и т. д.
Получение уведомлений при возникновении новых событий
Уведомления livestream для новых событий отображаются с уведомлениями портала Azure или Defender. Например:
- На портале Azure или Defender перейдите к уведомлениям в верхней правой части страницы портала.
- Выберите уведомление, чтобы открыть панель Прямая трансляция.
Повышение уровня сеанса прямой трансляции до уровня оповещения
Повышение уровня сеанса трансляции до нового оповещения, выбрав "Повышенные привилегии" для оповещения на панели команд в соответствующем сеансе трансляции:
Это действие позволяет открыть мастер создания правил, который предварительно заполняется данными запроса, связанного с сеансом прямой трансляции.
Следующие шаги
Из этой статьи вы узнали, как использовать охоту с потоковой передачей в Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: