العمل مع قواعد تحليلات الكشف في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel
هام
- قواعد الوقت الفعلي تقريبا (NRT) موجودة حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.
توفر قواعد التحليلات في الوقت الفعلي تقريبا من Microsoft Sentinel اكتشافا محدثا للتهديدات خارج الصندوق. تم تصميم هذا النوع من القواعد ليكون عالي الاستجابة من خلال تشغيل استعلامه على فترات تفصل بينهما دقيقة واحدة فقط.
في الوقت الحالي ، هذه القوالب لها تطبيق محدود كما هو موضح أدناه ، ولكن التكنولوجيا تتطور وتنمو بسرعة.
عرض قواعد الوقت الفعلي تقريبا (NRT)
من قائمة التنقل في Microsoft Sentinel، حدد Analytics.
في علامة التبويب القواعد النشطة في شفرة Analytics ، قم بتصفية القائمة لقوالب NRT :
انقر على عامل تصفية نوع القاعدة ، ثم على القائمة المنسدلة التي تظهر أدناه.
قم بإلغاء تحديد الكل، ثم ضع علامة NRT.
إذا لزم الأمر، انقر على أعلى القائمة المنسدلة لسحبها، ثم انقر على موافق.
إنشاء قواعد NRT
يمكنك إنشاء قواعد NRT بنفس الطريقة التي تنشئ بها قواعد تحليلات الاستعلام المجدولة العادية:
من قائمة التنقل في Microsoft Sentinel، حدد Analytics.
حدد إنشاء من شريط الأزرار، ثم قاعدة استعلام NRT من القائمة المنسدلة.
اتبع إرشادات معالج قواعد التحليلات.
تكوين قواعد NRT هو في معظم النواحي نفس تكوين قواعد التحليلات المجدولة.
يمكنك الرجوع إلى قوائم المراقبةوخلاصات معلومات التهديدات في منطق الاستعلام.
يمكنك استخدام جميع طرق إثراء التنبيه: تعيين الكيانوالتفاصيل المخصصة وتفاصيلالتنبيه.
يمكنك اختيار كيفية تجميع التنبيهات في حوادث، وحظر استعلام عند إنشاء نتيجة معينة.
يمكنك أتمتة الاستجابات لكل من التنبيهات والحوادث.
نظرا لطبيعة قواعد NRT وقيودها، لن تتوفر الميزات التالية لقواعد التحليلات المجدولة في المعالج:
- جدولة الاستعلام غير قابلة للتكوين، حيث تتم جدولة الاستعلامات تلقائيا ليتم تشغيلها مرة واحدة في الدقيقة مع فترة نظر مدتها دقيقة واحدة.
- عتبة التنبيه غير ذات صلة ، حيث يتم إنشاء تنبيه دائما.
- لا يتوفر تكوين تجميع الأحداث، نظرا لأنه يتم دائما تجميع الأحداث في التنبيه الذي تم إنشاؤه بواسطة القاعدة التي تلتقط الأحداث. لا يمكن لقواعد NRT إنتاج تنبيه لكل حدث.
بالإضافة إلى ذلك ، يحتوي الاستعلام نفسه على المتطلبات التالية:
يمكن أن يشير الاستعلام نفسه إلى جدول واحد فقط، ولا يمكن أن يحتوي على اتحادات أو صلات.
لا يمكنك تشغيل الاستعلام عبر مساحات العمل.
نظرا لحدود حجم التنبيهات، يجب أن يستفيد الاستعلام من العبارات لتضمين الحقول الضرورية فقط من
projectالجدول. خلاف ذلك ، قد ينتهي الأمر باقتطاع المعلومات التي تريد عرضها.
الخطوات التالية
في هذا المستند، تعلمت كيفية إنشاء قواعد تحليلات في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel.
- تعرف على المزيد حول قواعد التحليلات في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel.
- استكشف أنواع قواعد التحليلات الأخرى.