Tehditleri algılamak için Microsoft Sentinel 'de canlı akışı 'i kullanma

Yeni oluşturulan sorguları olay meydana geldiğinde test etmenize olanak sağlayan etkileşimli oturumlar oluşturmak, bir eşleşme bulunduğunda oturumlardan bildirimler almak ve gerekirse araştırmalar başlatmak için canlı akışı 'i kullanın. Herhangi bir Log Analytics sorgusunu kullanarak hızlı bir şekilde canlı akış oturumu oluşturabilirsiniz.

• Yeni oluşturulan sorguları olay gerçekleştiğinde sına

  Olaylara etkin olarak uygulanan geçerli kurallara herhangi bir çakışma olmadan sorgu test edebilir ve ayarlayabilirsiniz. Bu yeni sorguların beklendiği gibi çalıştığını doğruladıktan sonra, bir uyarıya oturumu destekleyen bir seçenek belirleyerek bunları özel uyarı kurallarına kolayca yükseltebilirsiniz.

• Tehditler gerçekleştiğinde bildirim alın

  Tehdit veri akışlarını toplanmış günlük verileriyle karşılaştırabilir ve bir eşleşme gerçekleştiğinde bilgilendirilirsiniz. Tehdit veri akışları, olası veya geçerli tehditlerle ilgili verilerin devam eden akışlardır ve bu nedenle bildirim, kuruluşunuzun potansiyel bir tehdidi olduğunu gösterebilir. Özel bir uyarı kuralını korumanın fazla olması gerekmeden olası bir sorun hakkında bildirim almak istediğinizde özel bir uyarı kuralı yerine bir canlı akışı oturumu oluşturun.

• Araştırmamaları Başlat

  Konak veya Kullanıcı gibi bir varlıkla ilgili etkin bir araştırma varsa, günlük verilerinde söz konusu varlık üzerinde olduğu gibi belirli (veya herhangi bir) etkinlik görüntüleyebilirsiniz. Bu etkinlik gerçekleştiğinde size bildirilmesini sağlayabilirsiniz.

Canlı akışı oturumu oluşturma

Mevcut bir arama sorgusundan canlı akışı oturumu oluşturabilir veya oturumunuzu sıfırdan oluşturabilirsiniz.

1. Azure Portal, Sentinel > tehdit yönetimi > Arayıcı' a gidin.

2. Bir hunme sorgusundan canlı akış oturumu oluşturmak için:

   1. Sorgular sekmesinden kullanılacak arama sorgusunu bulun.
   2. Sorguya sağ tıklayın ve canlı akışı 'e Ekle' yi seçin. Örnek:

   

3. Sıfırdan bir canlı akışı oturumu oluşturmak için:

   1. Livestream sekmesini seçin
   2. + Yeni canlı akışı' e tıklayın.

4. Livestream bölmesinde:

   • Bir sorgudan canlı akışı 'i başlattıysanız, sorguyu gözden geçirin ve yapmak istediğiniz değişiklikleri yapın.
   • Sıfırdan canlı akışı 'i başlattıysanız sorgunuzu oluşturun.

   Not

   Livestream, Azure Veri Gezgini 'daki verilerin çapraz kaynak sorgularını (önizlemede) destekler. Çapraz kaynak sorguları hakkında daha fazla bilgi edinin.

5. Komut çubuğundan oynat ' ı seçin.

   Komut çubuğunun altındaki durum çubuğu, canlı akışı oturumunuzun çalışıp çalışmadığını veya duraklatılmadığını gösterir. Aşağıdaki örnekte, oturum çalışıyor:

   

6. Komut çubuğundan Kaydet ' i seçin.

   Duraklat' ı seçmezseniz, Azure Portal oturumunuz kapatılana kadar oturum çalışmaya devam eder.

Canlı akışı oturumlarınızı görüntüleyin

1. Azure Portal, Sentinel > tehdit yönetimi için > > Livestream sekmesine gidin.

2. Görüntülemek veya düzenlemek istediğiniz canlı akışı oturumunu seçin. Örnek:

   

   Seçtiğiniz canlı akışı oturumunuz açılarak oynatma, duraklatma, düzenleme gibi bir şekilde açılır.

Yeni olaylar gerçekleştiğinde bildirim alın

Yeni olaylar için canlı akışı bildirimleri Azure Portal bildirimleri kullandığından, Azure Portal her kullanışınızda bu bildirimleri görürsünüz. Örnek:

Livestream bölmesini açmak için bildirimi seçin.

Canlı akış oturumunu bir uyarıya yükseltme

İlgili canlı akışı oturumunda komut çubuğundan uyarıya Yükselt ' i seçerek, bir canlı akış oturumunu yeni bir uyarıya yükseltebilirsiniz:

Bu eylem, canlı akışı oturumuyla ilişkili sorguyla önceden doldurulan kural oluşturma Sihirbazı ' nı açar.

Sonraki adımlar

Bu makalede, Microsoft Sentinel 'de canlı akışı 'i nasıl kullanacağınızı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Tehditler için proaktif araya
• Otomatik arama kampanyalarını çalıştırmak için not defterlerini kullanın