K detekci hrozeb použijte lovecké živě v Microsoft Sentinel.
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Důležité
- Prostředí pro dotazování mezi prostředky (viz označené položky níže) je aktuálně ve verzi Preview. další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nedostupné ve všeobecné dostupnosti, najdete v tématu dodatečné podmínky použití pro Microsoft Azure preview.
K vytváření interaktivních relací umožňujících testování nově vytvořených dotazů, když dojde k událostem, dostávat oznámení z relací, když se najde shoda, a v případě potřeby můžete spustit šetření. Relaci živě můžete rychle vytvořit pomocí libovolného dotazu Log Analytics.
Testování nově vytvořených dotazů při výskytu událostí
Dotazy můžete testovat a upravovat bez konfliktů k aktuálním pravidlům, která se aktivně používají pro události. Po potvrzení, že tyto nové dotazy fungují podle očekávání, je můžete snadno zvýšit na vlastní pravidla výstrah výběrem možnosti, která zvyšuje relaci na výstrahu.
Oznámení, když dojde k hrozbám
Můžete porovnat datové kanály hrozeb s agregovanými daty protokolů a při výskytu shody informovat. Datové kanály hrozeb jsou průběžné streamování dat, která se vztahují k potenciálním nebo současným hrozbám, takže oznámení můžou znamenat potenciální hrozbu pro vaši organizaci. Vytvořte relaci živě místo vlastního pravidla výstrahy, pokud chcete být upozorněni na potenciální problém bez nutnosti zachovat vlastní pravidlo výstrahy.
Spustit šetření
Pokud existuje aktivní šetření, které zahrnuje určitý prostředek, jako je například hostitel nebo uživatel, můžete v datech protokolu zobrazit konkrétní (nebo všechny) aktivity, ke kterým dojde na daném prostředku. Při výskytu této aktivity můžete být upozorněni.
Vytvoření relace živě
Můžete vytvořit relaci živě z existujícího loveckého dotazu nebo vytvořit svou relaci úplně od začátku.
V Azure Portal přejděte do části Sentinel > Threat Management > lov.
Vytvoření relace živě z loveckého dotazu:
- Na kartě dotazy vyhledejte lovecký dotaz, který chcete použít.
- Klikněte pravým tlačítkem na dotaz a vyberte Přidat do živě. Například:
Vytvoření relace živě od začátku:
- Vyberte kartu živě
- Klikněte na + Nový živě.
V podokně živě :
- Pokud jste spustili živě z dotazu, zkontrolujte dotaz a proveďte jakékoli změny, které chcete provést.
- Pokud jste začali živě od začátku, vytvořte dotaz.
Poznámka
Živě podporuje dotazy na více prostředků (ve verzi Preview) dat v Azure Průzkumník dat. Přečtěte si další informace o dotazech mezi prostředky.
Na panelu příkazů vyberte Přehrát .
Stavový řádek pod panelem příkazů indikuje, jestli je relace živě spuštěná nebo pozastavená. V následujícím příkladu je spuštěná relace:
Na panelu příkazů vyberte Uložit .
Pokud nevyberete pozastavit, relace zůstane spuštěná, dokud nebudete odhlášeni od Azure Portal.
Zobrazení živěch relací
V Azure Portal přejděte na kartu Sentinel > Threat Management > lovecké > živě .
Vyberte relaci živě, kterou chcete zobrazit nebo upravit. Například:
Vybraná relace živě se otevře, abyste ji mohli přehrát, pozastavit, upravit atd.
Dostávat oznámení, když dojde k novým událostem
Vzhledem k tomu, že živě oznámení o nových událostech používají Azure Portal oznámení, uvidíte tato oznámení vždy, když použijete Azure Portal. Například:
Vyberte oznámení a otevřete podokno živě .
Zvýšení relace živě na výstrahu
Relaci živě můžete povýšit na nové upozornění výběrem možnosti zvýšit úroveň na výstrahu na panelu příkazů v příslušné relaci živě:
Tato akce otevře Průvodce vytvořením pravidla, který je předem vyplněný dotazem, který je přidružen k relaci živě.
Další kroky
V tomto článku jste zjistili, jak používat lovecké živě v programu Microsoft Sentinel. Další informace o nástroji Microsoft Sentinel najdete v následujících článcích: