Använda jaktström i Microsoft Sentinel för att identifiera hot

Använd jakt på livestream för att skapa interaktiva sessioner som gör att du kan testa nyligen skapade frågor när händelser inträffar, få meddelanden från sessionerna när en matchning hittas och starta undersökningar om det behövs. Du kan snabbt skapa en livestream-session med valfri Log Analytics-fråga.

• Testa nyligen skapade frågor när händelser inträffar

  Du kan testa och justera frågor utan konflikter med aktuella regler som aktivt tillämpas på händelser. När du har bekräftat att de här nya frågorna fungerar som förväntat är det enkelt att höja upp dem till anpassade aviseringsregler genom att välja ett alternativ som höjer sessionen till en avisering.

• Få ett meddelande när hot inträffar

  Du kan jämföra hotdataflöden med aggregerade loggdata och bli meddelad när en matchning inträffar. Hotdataflöden är pågående dataströmmar som är relaterade till potentiella eller aktuella hot, så meddelandet kan tyda på ett potentiellt hot mot din organisation. Skapa en livestream-session i stället för en anpassad aviseringsregel när du vill meddelas om ett potentiellt problem utan omkostnaderna för att underhålla en anpassad aviseringsregel.

• Starta undersökningar

  Om det finns en aktiv undersökning som omfattar en tillgång, till exempel en värd eller användare, kan du visa specifika (eller valfria) aktiviteter i loggdata när de inträffar för tillgången. Du kan få ett meddelande när aktiviteten inträffar.

Skapa en livestream-session

Du kan skapa en livestream-session från en befintlig jaktfråga eller skapa din session från grunden.

1. I Azure Portal du till Sentinel Threat management Hunting ( Jakt på > Sentinel-hothantering). >

2. Så här skapar du en livestream-session från en jaktfråga:

   1. På fliken Frågor letar du upp den jaktfråga som ska användas.
   2. Högerklicka på frågan och välj Lägg till i livestream. Exempel:

   

3. Så här skapar du en livestream-session från grunden:

   1. Välj fliken Livestream
   2. Klicka på + Ny livestream.

4. I fönstret Livestream:

   • Om du har startat livestream från en fråga granskar du frågan och gör eventuella ändringar som du vill göra.
   • Om du har startat livestream från grunden skapar du din fråga.

   Anteckning

   Livestream stöder frågor mellan resurser (i förhandsversion) av data i Azure Data Explorer. Läs mer om frågor mellan resurser.

5. Välj Spela upp i kommandofältet.

   Statusfältet under kommandofältet anger om livestream-sessionen körs eller har pausats. I följande exempel körs sessionen:

   

6. Välj Spara i kommandofältet.

   Om du inte väljer Pausa fortsätter sessionen att köras tills du har loggat ut från Azure Portal.

Visa dina liveströmssessioner

1. I Azure Portal navigerar du till fliken Jakt på > livestream för > Sentinel-hothantering. >

2. Välj den liveströmssession som du vill visa eller redigera. Exempel:

   

   Den valda liveströmssessionen öppnas där du kan spela upp, pausa, redigera och så vidare.

Ta emot meddelanden när nya händelser inträffar

Eftersom livestream-meddelanden för nya händelser använder Azure Portal-meddelanden visas dessa meddelanden när du använder Azure Portal. Exempel:

Välj meddelandet för att öppna fönstret Livestream.

Utöka en liveströmssession till en avisering

Du kan höja upp en livestream-session till en ny avisering genom att välja Höj upp till avisering från kommandofältet i relevant livestream-session:

Den här åtgärden öppnar guiden skapa regler, som är förinspelad med frågan som är associerad med livestream-sessionen.

Nästa steg

I den här artikeln har du lärt dig hur du använder livestream-jakt i Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar:

• Proaktiv hotjakt
• Använda anteckningsböcker för att köra automatiserade jaktkampanjer