Erkennen von Bedrohungen mithilfe des Livestreams für die Suche in Microsoft Sentinel

Verwenden Sie den Hunting-Livestream, um interaktive Sitzungen zu erstellen, mit denen Sie neu erstellte Abfragen beim Eintreten von Ereignissen testen, Benachrichtigungen von den Sitzungen bei einer Übereinstimmung erhalten und bei Bedarf Untersuchungen starten können. Sie können schnell mithilfe einer beliebigen Log Analytics-Abfrage eine Livestreamsitzung erstellen.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Erstellen einer Livestreamsitzung

Sie können eine Livestreamsitzung aus einer vorhandenen Hunting-Abfrage erstellen oder eine Sitzung von Grund auf neu erstellen.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Hunting aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.

  2. So erstellen Sie eine Livestreamsitzung aus einer Hunting-Abfrage

    1. Ermitteln Sie auf der Registerkarte Abfragen die zu verwendende Hunting-Abfrage.
    2. Klicken Sie mit der rechten Maustaste auf die Abfrage, und wählen Sie Add to livestream (Zu Livestream hinzufügen) aus. Zum Beispiel:

    Erstellen einer Livestreamsitzung von einer Microsoft Sentinel-Huntingabfrage aus

  3. So erstellen Sie eine Livestreamsitzung von Grund auf neu

    1. Wählen Sie die Registerkarte Livestream aus.
    2. Wählen Sie + Neuer Livestream.
  4. Im Bereich Livestream:

    • Wenn Sie den Livestream aus einer Abfrage gestartet haben, überprüfen Sie die Abfrage, und nehmen Sie die gewünschten Änderungen vor.
    • Wenn Sie den Livestream von Grund auf neu gestartet haben, erstellen Sie Ihre Abfrage.

    Der Livestream unterstützt ressourcenübergreifende Abfragen von Daten in Azure Data Explorer. Lesen Sie den Artikel zu übergreifenden Abfragen von Log Analytics- oder Application Insights-Ressourcen und Azure Data Explorer.

  5. Wählen Sie in der Befehlsleiste Wiedergeben aus.

    Die Statusleiste unter der Befehlsleiste gibt an, ob die Livestreamsitzung ausgeführt wird oder angehalten ist. Im folgenden Beispiel wird die Sitzung ausgeführt:

    Erstellen einer Livestreamsitzung von Microsoft Sentinel-Hunting aus

  6. Wählen Sie in der Befehlsleiste Speichern aus.

    Wenn Sie nicht Anhalten auswählen, wird die Sitzung fortgesetzt, bis Sie sich vom Azure-Portal abgemeldet haben.

Anzeigen von Livestreamsitzungen

Suchen Sie Ihre Livestreamsitzungen auf der Registerkarte Hunting>Livestream.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Hunting aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.

  2. Wählen Sie die Registerkarte Livestream aus.

  3. Wählen Sie die Livestreamsitzung aus, die Sie anzeigen oder bearbeiten möchten. Zum Beispiel:

    Erstellen einer Livestreamsitzung von einer Microsoft Sentinel-Hunting-Abfrage aus

    Ihre ausgewählte Livestreamsitzung wird geöffnet, damit Sie sie wiedergeben, anhalten, bearbeiten usw. können.

Empfangen von Benachrichtigungen, wenn neue Ereignisse auftreten

Livestreambenachrichtigungen für neue Ereignisse werden mit den Azure- oder Defender-Portalbenachrichtigungen angezeigt. Zum Beispiel:

Benachrichtigung des Azure-Portals für Livestreams

  1. Navigieren Sie im Azure- oder Defender-Portal zu den Benachrichtigungen auf der oberen rechten Seite der Portalseite.
  2. Wählen Sie die Benachrichtigung aus, um den Bereich Livestream zu öffnen.

Erhöhen einer Livestreamsitzung zu einer Warnung

Sie können eine Livestreamsitzung in eine neue Warnung höher stufen, indem Sie auf der Befehlsleiste der relevanten Livestreamsitzung Auf Warnung erhöhen auswählen:

Höherstufen einer Livestreamsitzung in eine Warnung

Mit dieser Aktion wird der Regelerstellungs-Assistent geöffnet, der mit der Abfrage, die der Livestreamsitzung zugeordnet ist, bereits aufgefüllt ist.

Nächste Schritte

In diesem Artikel haben Sie gelernt, wie der Hunting-Livestream in Microsoft Sentinel verwendet wird. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: