Közel valós idejű (NRT) észlelési elemzési szabályok használata a Microsoft Sentinelben

Fontos

  • A közel valós idejű (NRT) szabályok jelenleg előzetes verzióban létezik. A bétaverzióban, előzetes verzióban vagy egyéb módon, általánosan elérhető Azure-funkciókra vonatkozó további jogi feltételekért tekintse meg a kiegészítő használati feltételeket a Microsoft Azure előzetes verziókhoz.

A Microsoft Sentinel közel valós idejű elemzési szabályai a fenyegetésészlelést szinte minden pillanatban biztosítják. Ez a szabálytípus úgy lett kialakítva, hogy gyors válaszidőt biztosít azáltal, hogy a lekérdezését csupán egy perces időközönként futtatja.

Ezek a sablonok jelenleg korlátozott alkalmazásokkal rendelkezik, ahogyan azt az alábbiakban vázoljuk, de a technológia gyorsan fejlődik és növekszik.

Közel valós idejű (NRT) szabályok megtekintése

  1. A Microsoft Sentinel navigációs menüjében válassza az Elemzés lehetőséget.

  2. Az Elemzés panel Aktív szabályok lapján szűrje az NRT-sablonok listáját:

    1. Kattintson a Szabálytípus szűrőre, majd az alább megjelenő legördülő listára.

    2. Jelölje be az Összes kijelölése lehetőséget, majd jelölje meg az NRT jelölést.

    3. Szükség esetén kattintson a legördülő lista tetejére a visszavonáshoz, majd kattintson az OK gombra.

NRT-szabályok létrehozása

Az NRT-szabályokat ugyanúgy hozhatja létre, mint a normál ütemezett lekérdezéselemzési szabályokat:

  1. A Microsoft Sentinel navigációs menüjében válassza az Elemzés lehetőséget.

  2. Válassza a létrehozás lehetőséget a gombsávon, majd a legördülő listából az NRT lekérdezési szabályt.

    Hozzon létre egy új NRT-szabályt.

  3. Kövesse az elemzési szabály varázsló utasításait.

    Az NRT-szabályok konfigurációja a legtöbb esetben megegyezik az ütemezett elemzési szabályok konfigurációjában.

    • A lekérdezési logikában tekintse meg a megnézhető listára és a fenyegetési intelligencia hírcsatornáira vonatkozó adatokat.

    • A riasztások bővített metódusát használhatja: entitásleképezés, egyéni adatokés riasztás részletei.

    • Kiválaszthatja, hogyan csoportosítja a riasztásokat incidensekbe, és hogyan tiltsa le a lekérdezést egy adott eredmény generálása után.

    • A riasztások és incidensek válaszait is automatizálhatja.

    Az NRT-szabályoktermészetéből és korlátaiból adódóan azonban az ütemezett elemzési szabályok következő funkciói nem lesznek elérhetők a varázslóban:

    • A lekérdezésütemezés nem konfigurálható, mivel a lekérdezések automatikusan percenként egyszer, egyperces visszacsatolási időszakkal vannak ütemezve.
    • A riasztási küszöbérték irreleváns, mivel a riasztások mindig létrejönnek.
    • Az eseménycsoport-csoportosítási konfiguráció nem érhető el, mivel az eseményeket a rendszer mindig az eseményeket rögzítési szabály által létrehozott riasztásba csoportosítja. Az NRT-szabályok nem tudnak riasztást előállítani az egyes eseményekhez.

    Emellett maga a lekérdezés a következő követelményekkel rendelkezik:

    • Maga a lekérdezés csak egy táblára hivatkozhat, és nem tartalmazhat uniókat vagy illesztéseket.

    • A lekérdezés nem futtatható több munkaterületen.

    • A riasztások méretkorlátai miatt a lekérdezésnek utasításokat kell használnia, hogy csak a táblából szükséges project mezőket tartalmazza. Ellenkező esetben a felületre ásni kívánt információ csonkolhat.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan hozhat létre közel valós idejű (NRT) elemzési szabályokat a Microsoft Sentinelben.