Detetar ameaças usando a transmissão ao vivo de caça no Microsoft Sentinel

Use a transmissão ao vivo de caça para criar sessões interativas que permitem testar consultas recém-criadas à medida que os eventos ocorrem, receber notificações das sessões quando uma correspondência é encontrada e iniciar investigações, se necessário. Você pode criar rapidamente uma sessão de transmissão ao vivo usando qualquer consulta do Log Analytics.

Criar uma sessão de transmissão ao vivo

Você pode criar uma sessão de transmissão ao vivo a partir de uma consulta de caça existente ou criar sua sessão do zero.

1. Para Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
   Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.

2. Para criar uma sessão de transmissão ao vivo a partir de uma consulta de caça:

   1. Na guia Consultas, localize a consulta de caça a ser usada.
   2. Clique com o botão direito do mouse na consulta e selecione Adicionar ao livestream. Por exemplo:

   

3. Para criar uma sessão de transmissão ao vivo a partir do zero:

   1. Selecione a guia Livestream .
   2. Selecione + Nova transmissão ao vivo.

4. No painel Livestream:

   • Se você iniciou a transmissão ao vivo a partir de uma consulta, revise a consulta e faça as alterações que deseja fazer.
   • Se você começou a transmissão ao vivo do zero, crie sua consulta.

   O Livestream dá suporte a consultas de dados entre recursos no Azure Data Explorer. Saiba mais sobre consultas entre recursos.

5. Selecione Reproduzir na barra de comandos.

   A barra de status sob a barra de comandos indica se sua sessão de transmissão ao vivo está em execução ou pausada. No exemplo a seguir, a sessão está em execução:

   

6. Selecione Guardar na barra de comando.

   A menos que você selecione Pausar, a sessão continuará a ser executada até que você saia do portal do Azure.

Veja as suas sessões de transmissão em direto

Encontre suas sessões de transmissão ao vivo na guia Hunting>Livestream.

1. Para Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
   Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.

2. Selecione a guia Livestream .

3. Selecione a sessão de transmissão ao vivo que deseja visualizar ou editar. Por exemplo:

   

   Sua sessão de transmissão ao vivo selecionada é aberta para você reproduzir, pausar, editar e assim por diante.

Receba notificações quando ocorrerem novos eventos

As notificações de transmissão ao vivo para novos eventos aparecem com as notificações do portal do Azure ou do Defender. Por exemplo:

1. No portal do Azure ou do Defender, vá para as notificações no canto superior direito da página do portal.
2. Selecione a notificação para abrir o painel Livestream .

Elevar uma sessão de transmissão ao vivo a um alerta

Promova uma sessão de transmissão ao vivo para um novo alerta selecionando Elevar para alerta na barra de comandos na sessão de transmissão ao vivo relevante:

Esta ação abre o assistente de criação de regras, que é pré-preenchido com a consulta associada à sessão de transmissão ao vivo.

Próximos passos

Neste artigo, você aprendeu como usar a transmissão ao vivo de caça no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Busca proativa de ameaças
• Usar blocos de anotações para executar campanhas de caça automatizadas