Usare regole di analisi del rilevamento quasi in tempo reale (NRT) in Microsoft Sentinel

Importante

  • Le regole quasi in tempo reale (NRT) sono attualmente in ANTEPRIMA. Per altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o altrimenti non ancora rilasciate nella disponibilità generale, vedere Le condizioni per l'utilizzo supplementari per Microsoft Azure preview.

Le regole di analisi quasi in tempo reale di Microsoft Sentinel offrono il rilevamento delle minacce aggiornato. Questo tipo di regola è stato progettato per essere altamente reattivo eseguendo la query a intervalli di un minuto di distanza.

Per il momento, questi modelli hanno un'applicazione limitata, come descritto di seguito, ma la tecnologia è in rapida evoluzione e in crescita.

Visualizzare le regole quasi in tempo reale (NRT)

  1. Scegliere Analisi dal menu di spostamento di Microsoft Sentinel.

  2. Nella scheda Regole attive del pannello Analisi filtrare l'elenco per i modelli NRT:

    1. Fare clic sul filtro Tipo di regola e quindi sull'elenco a discesa visualizzato di seguito.

    2. Deselezionare Seleziona tutto, quindi contrassegnare NRT.

    3. Se necessario, fare clic nella parte superiore dell'elenco a discesa per ritirarlo, quindi fare clic su OK.

Creare regole NRT

Le regole NRT vengono create nello stesso modo in cui si creano le normali regole di analisi delle query pianificate:

  1. Scegliere Analisi dal menu di spostamento di Microsoft Sentinel.

  2. Selezionare Crea dalla barra dei pulsanti, quindi regola di query NRT dall'elenco a discesa.

    Creare una nuova regola NRT.

  3. Seguire le istruzioni della Creazione guidata regola di analisi.

    La configurazione delle regole NRT è nella maggior parte dei casi uguale a quella delle regole di analisi pianificate.

    • È possibile fare riferimento a watchlist e feed di intelligence per le minacce nella logica di query.

    • È possibile usare tutti i metodi di arricchimento degli avvisi: mapping delleentità, dettaglipersonalizzati e dettagli dell'avviso.

    • È possibile scegliere come raggruppare gli avvisi in eventi imprevisti ed eliminare una query quando è stato generato un determinato risultato.

    • È possibile automatizzare le risposte sia agli avvisi che agli eventi imprevisti.

    A causa della natura e delle limitazioni delle regole NRT,tuttavia, le funzionalità seguenti delle regole di analisi pianificate non saranno disponibili nella procedura guidata:

    • La pianificazione delle query non è configurabile, poiché l'esecuzione delle query viene pianificata automaticamente una volta al minuto con un periodo di lookback di un minuto.
    • La soglia di avviso è irrilevante, poiché viene sempre generato un avviso.
    • La configurazione del raggruppamento degli eventi non è disponibile perché gli eventi vengono sempre raggruppati nell'avviso creato dalla regola che acquisisce gli eventi. Le regole NRT non possono generare un avviso per ogni evento.

    Inoltre, la query stessa ha i requisiti seguenti:

    • La query stessa può fare riferimento a una sola tabella e non può contenere unioni o join.

    • Non è possibile eseguire la query tra aree di lavoro.

    • A causa dei limiti di dimensione degli avvisi, la query deve usare le istruzioni per includere solo i project campi necessari della tabella. In caso contrario, le informazioni da visualizzare potrebbero risultare troncate.

Passaggi successivi

In questo documento si è appreso come creare regole di analisi quasi in tempo reale (NRT) in Microsoft Sentinel.