اكتشف التهديدات بسرعة باستخدام قواعد التحليلات قريب من الوقت الحقيقي (NRT) في Microsoft Sentinel

ما هي قواعد التحليلات في الوقت الحقيقي القريب (NRT)؟

عندما تواجه تهديدات أمنية، فإن الوقت والسرعة هما جوهر الأمر. يجب أن تكون على دراية بالتهديدات أثناء تجسيدها حتى تتمكن من تحليلها والاستجابة لها بسرعة لاحتواءها. توفر لك قواعد تحليلات Microsoft Sentinel في الوقت الفعلي تقريبا (NRT) اكتشافا أسرع للتهديدات - أقرب إلى مثيل SIEM المحلي - والقدرة على تقصير أوقات الاستجابة في سيناريوهات محددة.

توفر قواعد التحليلات في الوقت الفعلي تقريبا من Microsoft Azure Sentinel اكتشافا للتهديدات حتى اللحظة الجاهزة. تم تصميم هذا النوع من القواعد بحيث يكون شديد الاستجابة عن طريق تشغيل استعلامه على فترات دقيقة واحدة فقط.

كيف تعمل؟

قواعد NRT مشفرة بقوة للتشغيل مرة واحدة كل دقيقة وتسجل الأحداث التي تم تناولها في الدقيقة السابقة، حتى تتمكن من تزويدك بالمعلومات حتى الدقيقة قدر الإمكان.

على عكس القواعد المجدولة العادية التي تعمل على تأخير مدمج مدته خمس دقائق لحساب تأخير وقت الاستيعاب، تعمل قواعد NRT على تأخير لمدة دقيقتين فقط، وحل مشكلة تأخير الاستيعاب من خلال الاستفسار عن وقت استيعاب الأحداث بدلًا من وقت إنشائها في المصدر (حقل TimeGenerated). يؤدي هذا إلى تحسينات في كل من التردد والدقة في اكتشافاتك. (لفهم هذه المسألة بشكل أكمل، انظر جدولة الاستعلام وحد التنبيه و التعامل مع تأخير الاستيعاب في قواعد التحليلات المجدولة .)

تحتوي قواعد NRT العديد من الميزات والقدرات نفسها مثل قواعد التحليلات المجدولة. تتوفر المجموعة الكاملة من قدرات إثراء التنبيه - يمكنك تعيين الكيانات والتفاصيل المخصصة السطحية، ويمكنك تكوين المحتوى الديناميكي للحصول على تفاصيل التنبيه. يمكنك اختيار كيفية تجميع التنبيهات في حوادث، ويمكنك قمع تشغيل الاستعلام مؤقتًا بعد أن يؤدي إلى نتيجة، ويمكنك تحديد قواعد الأتمتة والمصنفات لتشغيلها استجابة للتنبيهات والحوادث الناتجة عن القاعدة.

في الوقت الحالي، هذه القوالب لها تطبيق محدود على النحو المبين أدناه، لكن التكنولوجيا تتطور وتنمو بسرعة.

الاعتبارات

تحكم القيود التالية حاليًا استخدام قواعد NRT:

1. لا يمكن تعريف أكثر من 50 قاعدة لكل عميل في الوقت الحالي.

2. حسب التصميم، ستعمل قواعد NRT بشكل صحيح فقط على مصادر السجل مع تأخير الاستيعاب بأقل من 12 ساعة.

   (نظرًا لأن نوع قاعدة NRT من المفترض أن يقارب استيعاب البيانات في الوقت الفعلي ، فإنه لا يمنحك أي ميزة لاستخدام قواعد NRT على مصادر السجل مع تأخير استيعاب كبير، حتى لو كان أقل بكثير من 12 ساعة.)

3. يتطور بناء الجملة لهذا النوع من القواعد تدريجيا. في هذا الوقت تظل القيود التالية سارية:

   1. نظرًا لأن نوع القاعدة هذا في الوقت الفعلي تقريبًا، فقد قللنا التأخير المدمج إلى الحد الأدنى (دقيقتان).

   2. نظرًا لأن قواعد NRT تستخدم وقت الاستيعاب بدلًا من وقت إنشاء الحدث (الذي يمثله مجال TimeGenerated)، يمكنك تجاهل تأخير مصدر البيانات ووقت الاستيعاب بأمان (انظر أعلاه).

   3. يمكن تشغيل الاستفسارات فقط في مساحة عمل واحدة. لا توجد قدرة عبر مساحة العمل.

   4. أصبح تجميع الأحداث الآن قابلا للتكوين بدرجة محدودة. يمكن أن تنتج قواعد NRT ما يصل إلى 30 تنبيها لحدث واحد. قاعدة مع استعلام ينتج عنه أكثر من 30 حدثا سوف تنتج تنبيهات لأول 29، ثم تنبيه 30 يلخص جميع الأحداث القابلة للتطبيق.

   5. يمكن الآن أن تشير الاستعلامات المعرفة في قاعدة NRT إلى أكثر من جدول واحد.

الخطوات التالية

في هذا المستند، تعلمت كيف تعمل قواعد التحليلات في الوقت الفعلي (NRT) في Microsoft Azure Sentinel.

• تعلم كيفية إنشاء قواعد NRT.
• تعرف على أنواع أخرى من قواعد التحليلات.