Detección de amenazas mediante la búsqueda en directo en Microsoft Sentinel
Use el streaming en vivo de búsqueda para crear sesiones interactivas que permitan probar las consultas recién creadas a medida que se produzcan eventos, recibir notificaciones de las sesiones cuando se encuentre una coincidencia e iniciar investigaciones si es necesario. Puede crear rápidamente una sesión de streaming en vivo mediante cualquier consulta de Log Analytics.
Importante
Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Creación de una sesión de streaming en vivo
Puede crear una sesión de streaming en vivo a partir de una consulta de búsqueda existente o crear la sesión desde cero.
Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.Para crear una sesión de streaming en vivo a partir de una consulta de búsqueda:
- En la pestaña Consultas, busque la consulta de búsqueda que se va a usar.
- Haga clic con el botón secundario en la consulta y seleccione Agregar a streaming en vivo. Por ejemplo:
Para crear una sesión de streaming en vivo desde cero:
- Seleccione la pestaña Transmisión en directo.
- Haga clic en + Nueva transmisión en directo.
En el panel de Streaming en vivo:
- Si inició streaming en vivo desde una consulta, revise la consulta y realice los cambios que desee realizar.
- Si inició streaming en vivo desde cero, cree la consulta.
Live Stream admite consultas entre recursos de datos en Azure Data Explorer. Obtenga más información sobre las consultas entre recursos.
En la barra de comandos, seleccione Reproducir.
La barra de estado de la barra de comandos indica si la sesión de streaming en vivo está en ejecución o en pausa. En el ejemplo siguiente, la sesión se está ejecutando:
En la barra de comandos, seleccione Guardar.
A menos que seleccione Pausar, la sesión continuará ejecutándose hasta que salga del Azure portal.
Visualización de las sesiones de streaming en vivo
Encuentre sus sesiones livestream en la pestaña Hunting>Livestream.
Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.Seleccione la pestaña Transmisión en directo.
Seleccione la sesión de streaming en vivo que desea ver o editar. Por ejemplo:
Se abre la sesión de streaming en vivo seleccionada para que pueda reproducirla, pausarla, editarla, etc.
Recibir notificaciones cuando se produzcan nuevos eventos
Las notificaciones de streaming en vivo para los nuevos eventos aparecen con las notificaciones del portal de Azure o Defender. Por ejemplo:
- En el portal de Azure o Defender, vaya a las notificaciones en la parte superior derecha de la página del portal.
- Seleccione la notificación para abrir el panel de Streaming en vivo.
Elevar una sesión de streaming en vivo a una alerta
Promueva una sesión de transmisión en directo a una nueva alerta seleccionando Elevar a alerta en la barra de comandos de la sesión de transmisión en directo correspondiente:
Esta acción abre el asistente para crear reglas, que se rellena previamente con la consulta que está asociada a la sesión de streaming en vivo.
Pasos siguientes
En este artículo, aprendió cómo ejecutar un streaming en vivo de búsqueda en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: