Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Use a transmissão ao vivo de busca para criar sessões interativas que permitem que você teste consultas recém-criadas à medida que ocorrerem eventos, receba notificações das sessões quando uma correspondência for encontrada e inicie investigações, se necessário. Você pode criar rapidamente uma sessão transmissão ao vivo usando qualquer consulta do Log Analytics.
Observação
Este artigo é sobre Hunting no Microsoft Sentinel, que também está disponível no Defender. Para busca avançada no Microsoft Defender, consulte Proativamente procurar ameaças com busca avançada no Microsoft Defender.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para maior obter segurança.
Criar uma sessão de transmissão ao vivo
Você pode criar uma sessão de transmissão ao vivo de uma consulta de busca existente ou criar sua sessão do zero.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Busca.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de Ameaças>Busca. Selecione Caça e não Caça Avançada.Para criar uma sessão de transmissão ao vivo de uma consulta de busca:
- Na guia Consultas , localize a consulta de busca a ser usada.
- Clique com o botão direito do mouse na consulta e selecione Adicionar ao livestream. Por exemplo:
Para criar uma sessão de transmissão ao vivo do zero:
- Selecione a guia Livestream .
- Clique em + Nova transmissão ao vivo.
No painel Transmissão ao vivo:
- Se você iniciou o transmissão ao vivo de uma consulta, examine a consulta e faça as alterações que desejar.
- Se você iniciou a transmissão ao vivo do zero, crie sua consulta.
O Livestream dá suporte a consultas entre recursos de dados no Azure Data Explorer. Saiba mais sobre consultas entre recursos.
Selecione Executar na barra de comandos.
A barra de status na barra de comandos indica se a sessão de transmissão ao vivo está em execução ou em pausa. No seguinte exemplo, a sessão está em execução:
Selecione Salvar na barra de comandos.
A menos que você selecione Pausar, a sessão continuará em execução até que você seja desconectado do portal do Azure.
Exibir suas sessões de transmissão ao vivo
Encontre suas sessões de transmissão ao vivo na guia Hunting>Livestream.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Busca.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de Ameaças>Busca.Selecione a guia Livestream .
Selecione a sessão de transmissão ao vivo que você deseja ver o editar. Por exemplo:
A sessão de transmissão ao vivo selecionada é aberta para execução, pausa, edição e assim por diante.
Receber notificações quando novos eventos ocorrerem
As notificações de transmissão ao vivo para novos eventos aparecem com as notificações do portal do Azure ou do Defender. Por exemplo:
- No portal do Azure ou do Defender, vá para as notificações no lado superior direito da página do portal.
- Selecione a notificação para abrir o painel Livestream .
Elevar uma sessão de transmissão ao vivo a um alerta
Promova uma sessão de transmissão ao vivo para um novo alerta selecionando Definir como alerta na barra de comando da sessão de transmissão ao vivo relevante:
Esta ação abre o assistente de criação de regras, que é preenchido previamente com a consulta associada à sessão de transmissão ao vivo.
Próximas etapas
Neste artigo, você aprendeu a usar a transmissão ao vivo de busca no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, confira os seguintes artigos: