Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Use a transmissão ao vivo de caça para criar sessões interativas que permitem testar consultas recém-criadas à medida que os eventos ocorrem, receber notificações das sessões quando uma correspondência é encontrada e iniciar investigações, se necessário. Você pode criar rapidamente uma sessão de transmissão ao vivo usando qualquer consulta do Log Analytics.
Observação
Este artigo é sobre Hunting no Microsoft Sentinel, que também existe no Defender. Para Caça avançada no Microsoft Defender, consulte Procurar proativamente ameaças com caça avançada no Microsoft Defender.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Criar uma sessão de transmissão ao vivo
Você pode criar uma sessão de transmissão ao vivo a partir de uma consulta de caça existente ou criar sua sessão do zero.
Para Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting. Certifique-se de selecionar Caça e não Caça avançada.Para criar uma sessão de transmissão ao vivo a partir de uma consulta de caça:
- Na guia Consultas , localize a consulta de caça a ser usada.
- Clique com o botão direito do mouse na consulta e selecione Adicionar ao livestream. Por exemplo:
Para criar uma sessão de transmissão ao vivo a partir do zero:
- Selecione a guia Livestream .
- Selecione + Nova transmissão ao vivo.
No painel Livestream :
- Se você iniciou a transmissão ao vivo a partir de uma consulta, revise a consulta e faça as alterações que deseja fazer.
- Se você começou a transmissão ao vivo do zero, crie sua consulta.
O Livestream dá suporte a consultas de dados entre recursos no Azure Data Explorer. Saiba mais sobre consultas entre recursos.
Selecione Reproduzir na barra de comandos.
A barra de status sob a barra de comandos indica se sua sessão de transmissão ao vivo está em execução ou pausada. No exemplo a seguir, a sessão está em execução:
Selecione Salvar na barra de comandos.
A menos que você selecione Pausar, a sessão continuará a ser executada até que você saia do portal do Azure.
Veja as suas sessões de transmissão em direto
Encontre suas sessões de transmissão ao vivo na guia Hunting>Livestream .
Para Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.Selecione a guia Livestream .
Selecione a sessão de transmissão ao vivo que deseja visualizar ou editar. Por exemplo:
Sua sessão de transmissão ao vivo selecionada é aberta para você reproduzir, pausar, editar e assim por diante.
Receba notificações quando ocorrerem novos eventos
As notificações de transmissão ao vivo para novos eventos aparecem com as notificações do portal do Azure ou do Defender. Por exemplo:
- No portal do Azure ou do Defender, vá para as notificações no canto superior direito da página do portal.
- Selecione a notificação para abrir o painel Livestream .
Elevar uma sessão de transmissão ao vivo a um alerta
Promova uma sessão de transmissão ao vivo para um novo alerta selecionando Elevar para alerta na barra de comandos na sessão de transmissão ao vivo relevante:
Esta ação abre o assistente de criação de regras, que é pré-preenchido com a consulta associada à sessão de transmissão ao vivo.
Próximos passos
Neste artigo, você aprendeu como usar a transmissão ao vivo de caça no Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: