Werken met nrt-detectieanalyseregels (near-realtime) in Microsoft Sentinel

Belangrijk

  • NRT-regels (Near-Real-Time) zijn momenteel beschikbaar in preview. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies of preview-functies hebben of die nog niet algemeen beschikbaar zijn.

De bijna-realtime analyseregels van Microsoft Sentinel bieden de meest geavanceerde detectie van bedreigingen. Dit type regel is ontworpen om zeer responsief te zijn door de query met intervallen van slechts één minuut uit te voeren.

Deze sjablonen hebben voorlopig een beperkte toepassing, zoals hieronder wordt beschreven, maar de technologie is snel in ontwikkeling en groeit.

NRT-regels (near-realtime) weergeven

  1. Selecteer analytics in het navigatiemenu van Microsoft Sentinel.

  2. Filter op het tabblad Actieve regels van de blade Analyse de lijst voor NRT-sjablonen:

    1. Klik op het filter Regeltype en vervolgens op de vervolgkeuzelijst die hieronder wordt weergegeven.

    2. Schakel het selectievakje Alles selecteren uit en markeer nrt.

    3. Klik, indien nodig, op de bovenkant van de vervolgkeuzelijst om deze in te trekken en klik vervolgens op OK.

NRT-regels maken

U maakt NRT-regels op dezelfde manier als u reguliere regels voor analyse van geplande query's maakt:

  1. Selecteer analytics in het navigatiemenu van Microsoft Sentinel.

  2. Selecteer Maken in de knopbalk en vervolgens NRT-queryregel in de vervolgkeuzelijst.

    Maak een nieuwe NRT-regel.

  3. Volg de instructies van de wizard Voor analyseregel.

    De configuratie van NRT-regels is in de meeste opzichten hetzelfde als die van geplande analyseregels.

    Vanwege de aard en beperkingen van NRT-regelszijn de volgende functies van geplande analyseregels echter niet beschikbaar in de wizard:

    • Queryplanning kan niet worden geconfigureerd, omdat query's automatisch één keer per minuut worden uitgevoerd met een lookbackperiode van één minuut.
    • Waarschuwingsdrempel is niet relevant, omdat er altijd een waarschuwing wordt gegenereerd.
    • Configuratie van gebeurtenisgroepering is niet beschikbaar, omdat gebeurtenissen altijd worden gegroepeerd in de waarschuwing die is gemaakt door de regel die de gebeurtenissen vast legt. NRT-regels kunnen geen waarschuwing voor elke gebeurtenis produceren.

    Bovendien heeft de query zelf de volgende vereisten:

    • De query zelf kan slechts naar één tabel verwijzen en mag geen sameningen of joins bevatten.

    • U kunt de query niet uitvoeren in werkruimten.

    • Vanwege de groottelimieten van de waarschuwingen moet uw query gebruikmaken van -instructies om alleen de benodigde velden uit uw tabel project op te nemen. Anders kan de informatie die u wilt opsnijken uiteindelijk worden afgekapt.

Volgende stappen

In dit document hebt u geleerd hoe u in Bijna realtime (NRT)-analyseregels kunt maken in Microsoft Sentinel.