اكتشاف التهديدات بسرعة باستخدام قواعد التحليلات في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

هام

• قواعد الوقت الفعلي تقريبا (NRT) موجودة حاليا في PREVIEW. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

ما هي قواعد التحليلات في الوقت الفعلي تقريبا (NRT)؟

عندما تواجه تهديدات أمنية ، فإن الوقت والسرعة أمران أساسيان. يجب أن تكون على دراية بالتهديدات فور تجسيدها حتى تتمكن من تحليلها والاستجابة لها بسرعة لاحتوائها. توفر لك قواعد التحليلات في الوقت الفعلي تقريبا (NRT) من Microsoft Sentinel اكتشافا أسرع للتهديدات - أقرب إلى SIEM المحلي - والقدرة على تقصير أوقات الاستجابة في سيناريوهات محددة.

توفر قواعد التحليلات في الوقت الفعلي تقريبا من Microsoft Sentinel اكتشافا محدثا للتهديدات خارج الصندوق. تم تصميم هذا النوع من القواعد ليكون عالي الاستجابة من خلال تشغيل استعلامه على فترات تفصل بينهما دقيقة واحدة فقط.

كيف تعمل؟

من الصعب ترميز قواعد NRT لتشغيلها مرة واحدة كل دقيقة والتقاط الأحداث التي تم تناولها في الدقيقة السابقة ، حتى تتمكن من تزويدك بالمعلومات في أحدث وقت ممكن.

على عكس القواعد المجدولة العادية التي تعمل على تأخير مضمن مدته خمس دقائق لحساب تأخر وقت الابتلاع ، تعمل قواعد NRT على تأخير لمدة دقيقتين فقط ، مما يحل مشكلة تأخير الابتلاع عن طريق الاستعلام عن وقت ابتلاع الأحداث بدلا من وقت إنشائها في المصدر (حقل TimeGenerated ). وهذا يؤدي إلى تحسينات في كل من التردد والدقة في عمليات الكشف الخاصة بك. (لفهم هذه المشكلة بشكل أكثر اكتمالا، راجع جدولة الاستعلام وعتبة التنبيه والتعاملمع تأخير الابتلاع في قواعد التحليلات المجدولة.)

تحتوي قواعد NRT على العديد من الميزات والإمكانات نفسها التي تتمتع بها قواعد التحليلات المجدولة. تتوفر المجموعة الكاملة من إمكانات إثراء التنبيه - يمكنك تعيين الكيانات وعرض التفاصيل المخصصة، ويمكنك تكوين المحتوى الديناميكي لتفاصيل التنبيه. يمكنك اختيار كيفية تجميع التنبيهات في حوادث، ويمكنك منع تشغيل استعلام مؤقتا بعد أن ينشئ نتيجة، ويمكنك تحديد قواعد التشغيل التلقائي وكتب التشغيل لتشغيلها استجابة للتنبيهات والحوادث التي تم إنشاؤها من القاعدة.

في الوقت الحالي ، هذه القوالب لها تطبيق محدود كما هو موضح أدناه ، ولكن التكنولوجيا تتطور وتنمو بسرعة.

الاعتبارات

تحكم القيود التالية حاليا استخدام قواعد NRT:

1. لا يمكن تحديد أكثر من 20 قاعدة لكل عميل في الوقت الحالي.

2. نظرا لأن هذا النوع من القواعد جديد ، فإن بناء الجملة الخاص به محدود حاليا ولكنه سيتطور تدريجيا. لذلك ، في هذا الوقت القيود التالية سارية المفعول:

   1. يمكن أن يشير الاستعلام المعرف في قاعدة NRT إلى جدول واحد فقط. ومع ذلك، يمكن أن تشير الاستعلامات إلى قوائم مراقبة متعددة وإلى خلاصات استخبارات التهديدات.

   2. لا يمكنك استخدام النقابات أو الانضمامات.

   3. نظرا لأن نوع القاعدة هذا موجود في الوقت الفعلي تقريبا، فقد قمنا بتقليل التأخير المضمن إلى الحد الأدنى (دقيقتين).

   4. نظرا لأن قواعد NRT تستخدم وقت الابتلاع بدلا من وقت إنشاء الحدث (الذي يمثله الحقل TimeGenerated )، يمكنك تجاهل تأخير مصدر البيانات وزمن انتقال وقت الابتلاع بأمان (انظر أعلاه).

   5. يمكن تشغيل الاستعلامات فقط داخل مساحة عمل واحدة. لا توجد إمكانية عبر مساحة العمل.

   6. تجميع الأحداث غير قابل للتكوين. تنتج قواعد NRT تنبيها واحدا يجمع جميع الأحداث القابلة للتطبيق.

الخطوات التالية

في هذا المستند، تعرفت على كيفية عمل قواعد التحليلات في الوقت الفعلي (NRT) تقريبا في Microsoft Sentinel.

• تعرف على كيفية إنشاء قواعد NRT.
• تعرف على الأنواع الأخرى من قواعد التحليلات.