在 Microsoft Sentinel 中使用搜捕即時資料流來偵測威脅

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用搜捕即時資料流可建立互動式工作階段,讓您在事件發生時測試新建立的查詢、找到相符項目時取得工作階段通知,並視需要啟動調查。 您可使用任何 Log Analytics 查詢,以快速建立即時資料流工作階段。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

如何建立即時資料流工作階段

您可從現有的搜捕查詢建立即時資料流工作階段,或從頭開始建立工作階段。

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,於 [威脅管理] 底下,選取 [搜捕]
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[威脅管理]>[搜捕]

  2. 若要從搜捕查詢建立即時資料流工作階段:

    1. [查詢] 索引標籤中,尋找要使用的搜捕查詢。
    2. 以滑鼠右鍵按一下查詢,並選取 [新增至即時資料流]。 例如:

    從 Microsoft Sentinel 搜捕查詢建立即時資料流工作階段

  3. 若要從頭開始建立即時資料流工作階段:

    1. 選取 [即時資料流] 索引標籤。
    2. 按一下 [+ 新增即時資料流]

  4. [即時資料流] 窗格上:

    • 若是從查詢開始建立即時資料流,請檢閱查詢,並進行所需的任何變更。
    • 若是從頭開始建立即時資料流,請建立查詢。

    即時資料流支援在 Azure 資料總管中進行資料的跨資源查詢深入了解跨資源查詢。

  5. 從命令列選取 [播放]

    命令列下的狀態列會表示即時資料流工作階段為執行中或已暫停。 在下列範例中,工作階段為執行中:

    從 Microsoft Sentinel 搜捕建立即時資料流工作階段

  6. 從命令列選取儲存

    除非選取 [暫停],否則工作階段會持續執行到登出 Azure 入口網站為止。

檢視您的即時資料流工作階段

在 [搜捕]>[即時串流] 索引標籤上尋找您的即時串流工作階段。

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,於 [威脅管理] 底下,選取 [搜捕]
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[威脅管理]>[搜捕]

  2. 選取 [即時資料流] 索引標籤。

  3. 選取要檢視或編輯的即時資料流工作階段。 例如:

    從 Microsoft Sentinel 搜捕查詢建立即時資料流工作階段

    隨即開啟所選的即時資料流工作階段,可供播放、暫停、編輯等。

在發生新事件時接收通知

新事件的即時串流通知會出現在 Azure 或 Defender 入口網站通知中。 例如:

即時資料流的 Azure 入口網站通知

  1. 在 Azure 或 Defender 入口網站中,移至入口網站頁面右上方的通知。
  2. 選取通知以開啟 [即時資料流] 窗格。

將即時資料流工作階段提升為警示

從相關的即時資料流工作階段命令列選取 [提升為警示],將即時資料流工作階段升階為新警示:

將即時資料流工作階段提升為警示

此動作會開啟規則建立精靈,並已預先填入該即時資料流工作階段的相關查詢。

下一步

在本文中,您已了解如何在 Microsoft Sentinel 中使用搜捕即時資料流。 若要深入了解 Microsoft Sentinel,請參閱下列文章: