Microsoft Sentinel'de avlanma canlı akışını kullanarak tehditleri algılama

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Olaylar gerçekleştiğinde yeni oluşturulan sorguları test etmenizi, eşleşme bulunduğunda oturumlardan bildirim almanıza ve gerekirse araştırma başlatmanıza olanak sağlayan etkileşimli oturumlar oluşturmak için tehdit avcılığı canlı akışını kullanın. Herhangi bir Log Analytics sorgusunu kullanarak hızlı bir şekilde canlı akış oturumu oluşturabilirsiniz.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Canlı akış oturumu oluşturma

Mevcut bir tehdit avcılığı sorgusundan canlı akış oturumu oluşturabilir veya sıfırdan oturumunuzu oluşturabilirsiniz.

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit Avcılığı'nı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit Yönetimi>Avcılığı'nı seçin.

  2. Bir tehdit avcılığı sorgusundan canlı akış oturumu oluşturmak için:

    1. Sorgular sekmesinde, kullanılacak tehdit avcılığı sorgusunu bulun.
    2. Sorguya sağ tıklayın ve Canlı akışa ekle'yi seçin. Örneğin:

    Microsoft Sentinel tehdit avcılığı sorgusundan canlı akış oturumu oluşturma

  3. Sıfırdan canlı akış oturumu oluşturmak için:

    1. Canlı Akış sekmesini seçin.
    2. + Yeni canlı akış'ı seçin.

  4. Canlı Akış bölmesinde:

    • Canlı akışı bir sorgudan başlattıysanız, sorguyu gözden geçirin ve yapmak istediğiniz değişiklikleri yapın.
    • Canlı akışı sıfırdan başlattıysanız sorgunuzu oluşturun.

    Canlı akış, Azure Veri Gezgini'daki verilerin kaynaklar arası sorgularını destekler. Kaynaklar arası sorgular hakkında daha fazla bilgi edinin.

  5. Komut çubuğundan Yürüt'e tıklayın.

    Komut çubuğunun altındaki durum çubuğu, canlı akış oturumunuzun çalışıp çalışmadığını veya duraklatıldığını gösterir. Aşağıdaki örnekte oturum çalışıyor:

    Microsoft Sentinel avcılığından canlı akış oturumu oluşturma

  6. Komut çubuğundan Kaydet'i seçin.

    Duraklat'ı seçmediğiniz sürece Oturum, Azure portalında oturumunuz kapatana kadar çalışmaya devam eder.

Canlı akış oturumlarınızı görüntüleme

Canlı akış oturumlarınızı Hunting>Livestream sekmesinde bulun.

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit Avcılığı'nı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit Yönetimi>Avcılığı'nı seçin.

  2. Canlı Akış sekmesini seçin.

  3. Görüntülemek veya düzenlemek istediğiniz canlı akış oturumunu seçin. Örneğin:

    Microsoft Sentinel tehdit avcılığı sorgusundan canlı akış oturumu oluşturma

    Seçtiğiniz canlı akış oturumu, oynatmanız, duraklatmanız, düzenlemeniz vb. için açılır.

Yeni olaylar gerçekleştiğinde bildirim alma

Yeni etkinlikler için canlı akış bildirimleri, Azure veya Defender portalı bildirimleriyle birlikte görünür. Örneğin:

Canlı akış için Azure portalı bildirimi

  1. Azure veya Defender portalında, portal sayfasının sağ üst tarafındaki bildirimlere gidin.
  2. Livestream bölmesini açmak için bildirimi seçin.

Canlı akış oturumlarını uyarıya yükseltme

İlgili canlı akış oturumundaki komut çubuğundan Uyarıya yükselt'i seçerek canlı akış oturumunu yeni bir uyarıya yükseltin:

Canlı akış oturumlarını bir uyarıya yükseltme

Bu eylem, canlı akış oturumuyla ilişkili sorguyla önceden doldurulmuş kural oluşturma sihirbazını açar.

Sonraki adımlar

Bu makalede, Microsoft Sentinel'de avlanma canlı akışını kullanmayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: