Erkennen von Bedrohungen mithilfe des Livestreams für die Suche in Microsoft Sentinel

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Verwenden Sie den Hunting-Livestream, um interaktive Sitzungen zu erstellen, mit denen Sie neu erstellte Abfragen beim Eintreten von Ereignissen testen, Benachrichtigungen von den Sitzungen bei einer Übereinstimmung erhalten und bei Bedarf Untersuchungen starten können. Sie können schnell mithilfe einer beliebigen Log Analytics-Abfrage eine Livestreamsitzung erstellen.

  • Testen neu erstellter Abfragen, wenn Ereignisse auftreten

    Sie können Abfragen ohne Konflikte mit aktuellen Regeln testen und anpassen, die aktiv auf Ereignisse angewendet werden. Nachdem Sie bestätigt haben, dass diese neuen Abfragen erwartungsgemäß funktionieren, ist es einfach, sie zu benutzerdefinierten Warnungsregeln höher zu stufen, indem Sie eine Option auswählen, die die Sitzung zu einer Warnung erhöht.

  • Benachrichtigung beim Auftreten von Bedrohungen erhalten

    Sie können Bedrohungsdatenfeeds mit aggregierten Protokolldaten vergleichen und eine Benachrichtigung erhalten, wenn eine Entsprechung auftritt. Bedrohungsdatenfeeds sind fortlaufende Datenströme, die sich auf potenzielle oder aktuelle Bedrohungen beziehen, sodass die Benachrichtigung möglicherweise auf eine potenzielle Bedrohung für Ihre Organisation hinweist. Erstellen Sie eine Livestreamsitzung anstelle einer benutzerdefinierten Warnungsregel, wenn Sie über ein mögliches Problem benachrichtigt werden möchten, ohne dass der Mehraufwand für die Verwaltung einer benutzerdefinierten Warnungsregel anfällt.

  • Starten von Untersuchungen

    Wenn eine aktive Untersuchung durchgeführt wird, die eine Ressource wie einen Host oder einen Benutzer beinhaltet, können Sie bestimmte (oder beliebige) Aktivitäten in den Protokolldaten anzeigen, während diese Aktivitäten für die Ressource auftreten. Sie können eine Benachrichtigung erhalten, wenn diese Aktivität auftritt.

Wichtig

Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die einheitlichen Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Erstellen einer Livestreamsitzung

Sie können eine Livestreamsitzung aus einer vorhandenen Hunting-Abfrage erstellen oder eine Sitzung von Grund auf neu erstellen.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Hunting aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.

  2. So erstellen Sie eine Livestreamsitzung aus einer Hunting-Abfrage

    1. Ermitteln Sie auf der Registerkarte Abfragen die zu verwendende Hunting-Abfrage.
    2. Klicken Sie mit der rechten Maustaste auf die Abfrage, und wählen Sie Add to livestream (Zu Livestream hinzufügen) aus. Zum Beispiel:

    Erstellen einer Livestreamsitzung von einer Microsoft Sentinel-Huntingabfrage aus

  3. So erstellen Sie eine Livestreamsitzung von Grund auf neu

    1. Wählen Sie die Registerkarte Livestream aus.
    2. Wählen Sie + Neuer Livestream.

  4. Im Bereich Livestream:

    • Wenn Sie den Livestream aus einer Abfrage gestartet haben, überprüfen Sie die Abfrage, und nehmen Sie die gewünschten Änderungen vor.
    • Wenn Sie den Livestream von Grund auf neu gestartet haben, erstellen Sie Ihre Abfrage.

    Der Livestream unterstützt ressourcenübergreifende Abfragen von Daten in Azure Data Explorer. Lesen Sie den Artikel zu übergreifenden Abfragen von Log Analytics- oder Application Insights-Ressourcen und Azure Data Explorer.

  5. Wählen Sie in der Befehlsleiste Wiedergeben aus.

    Die Statusleiste unter der Befehlsleiste gibt an, ob die Livestreamsitzung ausgeführt wird oder angehalten ist. Im folgenden Beispiel wird die Sitzung ausgeführt:

    Erstellen einer Livestreamsitzung von Microsoft Sentinel-Hunting aus

  6. Wählen Sie in der Befehlsleiste Speichern aus.

    Wenn Sie nicht Anhalten auswählen, wird die Sitzung fortgesetzt, bis Sie sich vom Azure-Portal abgemeldet haben.

Anzeigen von Livestreamsitzungen

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Hunting aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.

  2. Wählen Sie die Registerkarte Livestream aus.

  3. Wählen Sie die Livestreamsitzung aus, die Sie anzeigen oder bearbeiten möchten. Zum Beispiel:

    Erstellen einer Livestreamsitzung von einer Microsoft Sentinel-Hunting-Abfrage aus

    Ihre ausgewählte Livestreamsitzung wird geöffnet, damit Sie sie wiedergeben, anhalten, bearbeiten usw. können.

Empfangen von Benachrichtigungen, wenn neue Ereignisse auftreten

Da für Livestreambenachrichtigungen für neue Ereignisse Benachrichtigungen des Azure-Portals verwendet werden, erhalten Sie diese immer, wenn Sie das Azure-Portal verwenden. Zum Beispiel:

Benachrichtigung des Azure-Portals für Livestreams

Wählen Sie die Benachrichtigung aus, um den Bereich Livestream zu öffnen.

Erhöhen einer Livestreamsitzung zu einer Warnung

Sie können eine Livestreamsitzung in eine neue Warnung höher stufen, indem Sie auf der Befehlsleiste der relevanten Livestreamsitzung Auf Warnung erhöhen auswählen:

Höherstufen einer Livestreamsitzung in eine Warnung

Mit dieser Aktion wird der Regelerstellungs-Assistent geöffnet, der mit der Abfrage, die der Livestreamsitzung zugeordnet ist, bereits aufgefüllt ist.

Nächste Schritte

In diesem Artikel haben Sie gelernt, wie der Hunting-Livestream in Microsoft Sentinel verwendet wird. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: