Opsporings-livestream in Microsoft Sentinel gebruiken om bedreigingen te detecteren

  • Artikel
  • 3 minuten om te lezen

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

Belangrijk

  • De queryervaring voor verschillende resources (zie gemarkeerde items hieronder) is momenteel beschikbaar als PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies, preview-functies of anderszins nog niet algemeen beschikbaar zijn.

Gebruik hunting livestream om interactieve sessies te maken die u in staat stellen nieuwe query's te testen wanneer gebeurtenissen optreden, meldingen van de sessies te ontvangen wanneer er een overeenkomst wordt gevonden en indien nodig onderzoek te starten. U kunt snel een livestreamsessie maken met behulp van een Log Analytics-query.

  • Nieuwe query's testen wanneer er gebeurtenissen optreden

    U kunt query's testen en aanpassen zonder conflicten met de huidige regels die actief worden toegepast op gebeurtenissen. Nadat u hebt bevestigd dat deze nieuwe query's werken zoals verwacht, kunt u deze eenvoudig promoveren naar aangepaste waarschuwingsregels door een optie te selecteren die de sessie naar een waarschuwing verhoogt.

  • Ontvang een melding wanneer er bedreigingen optreden

    U kunt feeds met bedreigingsgegevens vergelijken met geaggregeerde logboekgegevens en een melding ontvangen wanneer er een overeenkomst plaatsvindt. Feeds van bedreigingsgegevens zijn doorlopende gegevensstromen die betrekking hebben op potentiële of huidige bedreigingen, dus de melding kan duiden op een mogelijke bedreiging voor uw organisatie. Maak een livestreamsessie in plaats van een aangepaste waarschuwingsregel wanneer u op de hoogte wilt worden gesteld van een mogelijk probleem zonder de overheadkosten van het onderhouden van een aangepaste waarschuwingsregel.

  • Onderzoek starten

    Als er een actief onderzoek is waarbij een asset, zoals een host of gebruiker, betrokken is, kunt u specifieke (of een) activiteit in de logboekgegevens bekijken terwijl deze zich op die asset voordoen. U kunt een melding ontvangen wanneer deze activiteit plaatsvindt.

Een livestreamsessie maken

U kunt een livestream-sessie maken van een bestaande hunting-query of een nieuwe sessie maken.

  1. Navigeer in Azure Portal naar Sentinel > Threat Management > Hunting.

  2. Een livestream-sessie maken van een hunting-query:

    1. Zoek op het tabblad Query's de te gebruiken hunting-query.
    2. Klik met de rechtermuisknop op de query en selecteer Toevoegen aan livestream. Bijvoorbeeld:

    Livestream-sessie maken op de microsoft Sentinel-query voor de hunting

  3. Een nieuwe livestreamsessie maken:

    1. Selecteer het tabblad Livestream
    2. Klik op + Nieuwe livestream.

  4. In het deelvenster Livestream:

    • Als u livestream vanuit een query hebt gestart, controleert u de query en maakt u eventuele wijzigingen die u wilt aanbrengen.
    • Als u livestream vanaf het begin hebt gestart, maakt u uw query.

    Notitie

    Livestream ondersteunt query's op meerdere resources (in preview) van gegevens in Azure Data Explorer. Meer informatie over query's op meerdere resources.

  5. Selecteer Afspelen in de opdrachtbalk.

    De statusbalk onder de opdrachtbalk geeft aan of uw livestreamsessie wordt uitgevoerd of onderbroken. In het volgende voorbeeld wordt de sessie uitgevoerd:

    livestream-sessie maken van Microsoft Sentinel-hunting

  6. Selecteer Opslaan in de opdrachtbalk.

    Tenzij u Onderbreken selecteert, blijft de sessie worden uitgevoerd totdat u bent Azure Portal.

Uw livestreamsessies weergeven

  1. Ga in Azure Portal naar het tabblad Sentinel Threat > Management > Hunting > Livestream.

  2. Selecteer de livestreamsessie die u wilt weergeven of bewerken. Bijvoorbeeld:

    een livestream-sessie maken met een Microsoft Sentinel-query voor de hunting

    De geselecteerde livestreamsessie wordt geopend zodat u kunt afspelen, onderbreken, bewerken, en meer.

Meldingen ontvangen wanneer er nieuwe gebeurtenissen optreden

Omdat livestreammeldingen voor nieuwe gebeurtenissen Azure Portal gebruiken, ziet u deze meldingen wanneer u de Azure Portal. Bijvoorbeeld:

Azure Portal voor livestream

Selecteer de melding om het deelvenster Livestream te openen.

Een livestreamsessie verhogen naar een waarschuwing

U kunt een livestream-sessie promoveren naar een nieuwe waarschuwing door In de opdrachtbalk in de relevante livestreamsessie Verhoogde waarschuwing te selecteren:

Livestream-sessie verhogen naar een waarschuwing

Met deze actie wordt de wizard voor het maken van regels geopend, die vooraf wordt uitgevoerd met de query die is gekoppeld aan de livestreamsessie.

Volgende stappen

In dit artikel hebt u geleerd hoe u hunting livestream gebruikt in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: