A betöltési késleltetés kezelése az ütemezett elemzési szabályokban

  • Cikk

Bár a Microsoft Sentinel különböző forrásokból tud adatokat betölteni, az egyes adatforrások betöltési ideje különböző körülmények között eltérő lehet.

Ez a cikk azt ismerteti, hogy a betöltési késleltetés milyen hatással lehet az ütemezett elemzési szabályokra, és hogyan háríthatja el ezeket a hiányosságokat.

Miért jelentős a késés?

Megírhat például egy egyéni észlelési szabályt, amely úgy állítja be a Lekérdezés futtatása ésaz utolsó mezőkből származó keresési adatok beállítását, hogy a szabály öt percenként fusson, és az utolsó öt percben keressen adatokat:

Képernyőkép az Elemzési szabály varázsló – Új szabály létrehozása ablakról.

Az utolsó mező keresési adatai egy visszatekintési időszakként ismert beállítást határoznak meg. Ideális esetben, ha nincs késés, ez az észlelés nem hagy ki eseményeket, ahogy az alábbi ábrán látható:

Ötperces visszatekintő ablakot ábrázoló diagram.

Az esemény a generált állapotban érkezik, és a visszatekintési időszak része.

Tegyük fel, hogy az adatforrás késik. Ebben a példában tegyük fel, hogy az eseményt két perccel a létrehozása után betöltötték. A késleltetés két perc:

Az ötperces visszatekintő ablakokat ábrázoló diagram két perces késéssel.

Az esemény az első visszatekintési időszakon belül jön létre, de az első futtatáskor nem lesz betöltve a Microsoft Sentinel-munkaterületen. Amikor az ütemezett lekérdezés legközelebb fut, betölti az eseményt, de az idő által generált szűrő eltávolítja az eseményt, mert több mint öt perccel ezelőtt történt. Ebben az esetben a szabály nem aktivál riasztást.

A késés kezelése

Megjegyzés

A problémát az alábbi eljárással oldhatja meg, vagy implementálhatja a Microsoft Sentinel közel valós idejű észlelési (NRT) szabályait. További információ: Fenyegetések gyors észlelése közel valós idejű (NRT) elemzési szabályokkal a Microsoft Sentinelben.

A probléma megoldásához ismernie kell az adattípus késését. Ebben a példában már tudja, hogy a késés két perc.

Saját adatai esetében a Kusto ingestion_time() függvénnyel megértheti a késést, és kiszámíthatja a TimeGenerated és a betöltési idő közötti különbséget. További információ: Betöltési késleltetés kiszámítása.

A késés meghatározása után a következő módon háríthatja el a problémát:

  • Növelje a visszatekintési időszakot. Az alapszintű megérzés azt jelzi, hogy a visszatekintési időszak méretének növelése segít. Mivel a visszatekintési időszak öt perc, és a késése két perc, a visszatekintési időszak hét percre állítása segít a probléma megoldásában. Például a szabálybeállításokban:

    Képernyőkép a visszatekintő ablak hét percre való beállítását bemutató képernyőképről.

    Az alábbi ábra bemutatja, hogy a look-pack időszak most hogyan tartalmazza a kihagyott eseményt:

    Diagram, amely a hétperces visszatekintő ablakokat mutatja két perces késéssel.

  • Duplikációk kezelése. Csak a visszatekintési időszak növelése hozhat létre duplikációt, mert a visszatekintő ablakok átfedésben vannak. Egy másik esemény például az alábbi ábrán látható módon jelenhet meg:

    Az egymást átfedő visszatekintő ablakok duplikációt eredményeznek.

    Mivel az esemény TimeGenerated értéke mindkét visszatekintési időszakban megtalálható, az esemény két riasztást aktivál. Meg kell találnia a duplikáció megoldásának módját.

  • Társítsa az eseményt egy adott visszatekintési időszakhoz. Az első példában azért hagyott ki eseményeket, mert az adatok nem lett betöltve az ütemezett lekérdezés futtatásakor. Kiterjesztette a visszatekintőt az eseményre, de ez duplikálást okozott. Az eseményt hozzá kell rendelnie ahhoz az ablakhoz, amely ki lett terjesztve, hogy tartalmazza azt.

    Ezt úgy teheti meg, hogy az eredeti szabály look-back = 5mhelyett a beállítást állítja ingestion_time() > ago(5m)be. Ez a beállítás társítja az eseményt az első visszatekintő ablakhoz. Például:

    Diagram, amely bemutatja, hogy a korábbi korlátozás beállítása hogyan kerüli el a duplikálást.

    A betöltési idő korlátozása mostantól csökkenti a visszatekintési időszakhoz hozzáadott további két percet. Az első példában a második futtatási visszatekintési időszak rögzíti az eseményt:

    Diagram, amely bemutatja, hogy a korábbi korlátozás beállítása hogyan rögzíti az eseményt.

Az alábbi mintalekérdezés összefoglalja a betöltési késleltetéssel kapcsolatos problémák megoldását:

let ingestion_delay = 2min;
let rule_look_back = 5min;
CommonSecurityLog
| where TimeGenerated >= ago(ingestion_delay + rule_look_back)
| where ingestion_time() > ago(rule_look_back)

Betöltési késleltetés kiszámítása

Alapértelmezés szerint a Microsoft Sentinel ütemezett riasztási szabályai 5 perces visszatekintési időszakra vannak konfigurálva. Előfordulhat azonban, hogy minden adatforrás saját, egyéni betöltési késleltetéssel rendelkezik. Több adattípus összekapcsolásakor tisztában kell lennie az egyes adattípusok különböző késésével, hogy megfelelően konfigurálhassa a visszakeresési időszakot.

A Microsoft Sentinel beépített munkaterület-használati jelentése tartalmaz egy irányítópultot, amely a munkaterületre áramló különböző adattípusok késését és késését mutatja.

Például:

Képernyőkép a munkaterület használati jelentéséről, amelyen a végpontok közötti késés táblázat szerint látható

Következő lépések

További információkért lásd: