Microsoft Sentinel でハンティング ライブストリームを使用して脅威を検出する

ハンティング ライブストリームを使用して、イベントの発生時に新たに作成したクエリをテストしたり、一致が見つかった場合にセッションから通知を取得したり、必要に応じて調査を開始したりできるようにする対話型セッションを作成します。 どのような Log Analytics クエリを使用したライブストリーム セッションでも、すばやく作成できます。

ライブストリーム セッションを作成する

既存のハンティング クエリからライブストリーム セッションを作成することも、ゼロからセッションを作成することもできます。

1. Azure portal の Microsoft Sentinel では、[脅威管理] で、[ハンティング] を選択します。
   Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威管理]>[ハンティング] を選択します。

2. ハンティング クエリからライブストリーム セッションを作成するには、次のようにします。

   1. [クエリ] タブで、使用するハンティング クエリを見つけます。
   2. クエリを右クリックし、 [Add to Livestream](ライブストリームに追加) を選択します。 次に例を示します。

   

3. ゼロからライブストリーム セッションを作成するには、次のようにします。

   1. [ライブストリーム] タブを選択します。
   2. [+ 新しいライブストリーム] を選択します。

4. [Livestream](ライブストリーム) ウィンドウで、次を実行します。

   • クエリからライブストリームを開始した場合は、クエリを確認し、必要があれば変更を加えてください。
   • ゼロからライブストリームの作成を開始した場合は、クエリを作成します。

   ライブストリームでは、Azure Data Explorer 内のデータのクロスリソース クエリ がサポートされています。 クロスリソース クエリの詳細をご確認ください。

5. コマンド バーで、 [再生] を選択します。

   コマンド バーの下にあるステータス バーに、ライブストリーム セッションが実行中であるか一時停止しているかが示されます。 次の例では、セッションが実行中です。

   

6. コマンド バーで、 [保存] を選択します。

   [一時停止] を選択しない限り、Azure portal からサインアウトするまで、セッションが継続的に実行されます。

ライブストリーム セッションを表示する

[ハンティング] > [ライブストリーム] タブでライブストリーム セッションを見つけます。

1. Azure portal の Microsoft Sentinel では、[脅威管理] で、[ハンティング] を選択します。
   Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威管理]>[ハンティング] を選択します。

2. [ライブストリーム] タブを選択します。

3. 表示または編集するライブストリーム セッションを選択します。 次に例を示します。

   

   選択したライブストリーム セッションが開き、再生、一時停止、編集などを行うことができるようになります。

新しいイベントが発生したときに通知を受け取る

新しいイベントのライブストリーム通知は、Azure または Defender ポータルの通知と共に表示されます。 次に例を示します。

1. Azure または Defender ポータルで、ポータル ページの右上にある通知に移動します。
2. 通知を選択すると、 [Livestream](ライブストリーム) ウィンドウが開きます。

ライブストリーム セッションをアラートに昇格させる

ライブストリーム セッションを新しいアラートに昇格するには、関連するライブストリーム セッションのコマンド バーで [アラートに昇格] を選択します。

このアクションにより、ルールの作成ウィザードが開きます。このウィザードには、ライブストリーム セッションに関連付けられているクエリが事前に設定されています。

次のステップ

この記事では、Microsoft Sentinel でハンティング ライブストリームを使用する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。

• 脅威を事前に検出する
• ノートブックを使用して自動化された検出キャンペーンを実行する