Bekerja dengan aturan analisis deteksi hampir real-time (NRT) di Microsoft Sentinel

Penting

Aturan analitik mendekati real-time Microsoft Sentinel menyediakan deteksi ancaman terkini dengan cara yang kreatif. Jenis aturan ini dirancang agar sangat responsif dengan menjalankan kuerinya pada interval hanya satu menit.

Untuk sekarang, templat ini memiliki aplikasi terbatas seperti yang diuraikan di bawah ini, tetapi teknologinya meningkat pesat dan berkembang.

Lihat aturan near-real-time (NRT)

  1. Dari menu navigasi Microsoft Sentinel, pilih Analitik.

  2. Di tab Aturan aktif pada bilah Analitik, filter daftar untuk templat NRT:

    1. Klik filter Jenis aturan, lalu daftar tarik-turun yang muncul di bawah.

    2. Hapus tanda Pilih semua, lalu tandai NRT.

    3. Jika perlu, klik bagian atas daftar tarik-turun untuk menariknya kembali, lalu klik OK.

Buat aturan NRT

Anda membuat aturan NRT dengan cara yang sama seperti Anda membuat aturan analisis kueri terjadwal biasa:

  1. Dari menu navigasi Microsoft Sentinel, pilih Analitik.

  2. Pilih Buat dari bilah tombol, lalu aturan kueri NRT dari daftar pilihan menurun.

    Create a new NRT rule.

  3. Ikuti petunjuk wizard aturan analitik.

    Konfigurasi aturan NRT dalam banyak hal sama dengan aturan analitik terjadwal.

    Namun, karena sifat dan batasan aturan NRT, fitur aturan analisis terjadwal berikut tidak akan tersedia di wizard:

    • Penjadwalan kueri tidak dapat dikonfigurasi, karena kueri secara otomatis dijadwalkan untuk dijalankan sekali per menit dengan periode lookback satu menit.
    • Ambang pemberitahuan tidak relevan, karena pemberitahuan selalu dibuat.
    • Konfigurasi Pengelompokan peristiwa tidak tersedia, karena peristiwa selalu dikelompokkan ke dalam pemberitahuan yang dibuat oleh aturan yang merekam peristiwa. Aturan NRT tidak dapat menghasilkan pemberitahuan untuk setiap acara.

    Selain itu, kueri itu sendiri memiliki persyaratan berikut:

    • Kueri itu sendiri hanya dapat merujuk ke satu tabel, dan tidak dapat berisi kesatuan atau gabungan.

    • Anda tidak dapat menjalankan kueri di seluruh ruang kerja.

    • Karena batas ukuran pemberitahuan, kueri Anda harus menggunakan pernyataan project untuk memasukkan bidang yang diperlukan saja dari tabel Anda. Jika tidak, informasi yang ingin Anda tampilkan dapat terpotong.

Langkah berikutnya

Dalam dokumen ini, Anda belajar cara membuat aturan analitik hampir real-time (NRT) di Microsoft Sentinel.