Share via

Bedreigingen detecteren met behulp van opsporings livestream in Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Gebruik opsporings livestream om interactieve sessies te maken waarmee u zojuist gemaakte query's kunt testen wanneer er gebeurtenissen plaatsvinden, meldingen van de sessies ontvangen wanneer er een overeenkomst wordt gevonden en zo nodig onderzoeken starten. U kunt snel een livestreamsessie maken met behulp van een Log Analytics-query.

  • Nieuw gemaakte query's testen wanneer gebeurtenissen plaatsvinden

    U kunt query's testen en aanpassen zonder conflicten met de huidige regels die actief worden toegepast op gebeurtenissen. Nadat u hebt bevestigd dat deze nieuwe query's werken zoals verwacht, kunt u ze eenvoudig promoveren naar aangepaste waarschuwingsregels door een optie te selecteren waarmee de sessie wordt uitgebreid naar een waarschuwing.

  • Een melding ontvangen wanneer bedreigingen optreden

    U kunt bedreigingsgegevensfeeds vergelijken met geaggregeerde logboekgegevens en een melding ontvangen wanneer er een overeenkomst plaatsvindt. Feeds voor bedreigingsgegevens zijn doorlopende gegevensstromen die zijn gerelateerd aan potentiële of huidige bedreigingen, dus de melding kan duiden op een mogelijke bedreiging voor uw organisatie. Maak een livestreamsessie in plaats van een aangepaste waarschuwingsregel om op de hoogte te worden gesteld van een mogelijk probleem zonder de overhead van het onderhouden van een aangepaste waarschuwingsregel.

  • Onderzoeken starten

    Als er een actief onderzoek is dat betrekking heeft op een asset, zoals een host of gebruiker, bekijkt u specifieke (of een) activiteit in de logboekgegevens zoals deze zich op die asset voordoen. U ontvangt een melding wanneer deze activiteit plaatsvindt.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Een livestreamsessie maken

U kunt een livestreamsessie maken op basis van een bestaande opsporingsquery of uw sessie helemaal zelf maken.

  1. Voor Microsoft Sentinel in De Azure-portal selecteert u Opsporing onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting.

  2. Een livestreamsessie maken op basis van een opsporingsquery:

    1. Zoek op het tabblad Query's de opsporingsquery die u wilt gebruiken.
    2. Klik met de rechtermuisknop op de query en selecteer Toevoegen aan livestream. Voorbeeld:

    Livestream-sessie maken van de Opsporingsquery van Microsoft Sentinel

  3. Een volledig nieuwe livestreamsessie maken:

    1. Selecteer het tabblad Livestream .
    2. Selecteer + Nieuwe livestream.

  4. In het deelvenster Livestream :

    • Als u livestream vanuit een query hebt gestart, controleert u de query en voert u wijzigingen aan die u wilt aanbrengen.
    • Als u helemaal zelf livestream hebt gestart, maakt u uw query.

    Livestream biedt ondersteuning voor query's voor meerdere resources van gegevens in Azure Data Explorer. Meer informatie over query's tussen resources.

  5. Selecteer Afspelen op de opdrachtbalk.

    De statusbalk onder de opdrachtbalk geeft aan of uw livestreamsessie wordt uitgevoerd of onderbroken. In het volgende voorbeeld wordt de sessie uitgevoerd:

    livestreamsessie maken van Microsoft Sentinel-opsporing

  6. Selecteer Opslaan op de opdrachtbalk.

    Tenzij u Onderbreken selecteert, blijft de sessie actief totdat u bent afgemeld bij Azure Portal.

Uw livestreamsessies weergeven

  1. Voor Microsoft Sentinel in De Azure-portal selecteert u Opsporing onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting.

  2. Selecteer het tabblad Livestream .

  3. Selecteer de livestreamsessie die u wilt weergeven of bewerken. Voorbeeld:

    livestreamsessie maken vanuit de opsporingsquery van Microsoft Sentinel

    De geselecteerde livestreamsessie wordt geopend zodat u kunt afspelen, onderbreken, bewerken, enzovoort.

Meldingen ontvangen wanneer er nieuwe gebeurtenissen plaatsvinden

Omdat livestreammeldingen voor nieuwe gebeurtenissen gebruikmaken van Azure Portal-meldingen, ziet u deze meldingen wanneer u Azure Portal gebruikt. Voorbeeld:

Azure Portal-melding voor livestream

Selecteer de melding om het deelvenster Livestream te openen.

Een livestreamsessie uitbreiden naar een waarschuwing

Promoot een livestreamsessie naar een nieuwe waarschuwing door Elevate te selecteren om een waarschuwing uit te voeren op de opdrachtbalk in de relevante livestreamsessie:

Livestream-sessie uitbreiden naar een waarschuwing

Met deze actie wordt de wizard voor het maken van regels geopend, die vooraf wordt ingevuld met de query die is gekoppeld aan de livestreamsessie.

Volgende stappen

In dit artikel hebt u geleerd hoe u opsporings livestream gebruikt in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: