Detect threats quickly with near-real-time (NRT) analytics rules in Microsoft Sentinel (Bedreigingen snel detecteren met NRT-analyseregels (near-real-time) in Microsoft Sentinel)

Wat zijn bijna realtime analyseregels (NRT)?

Wanneer u te maken hebt met beveiligingsrisico's, zijn tijd en snelheid van essentieel belang. U moet zich bewust zijn van bedreigingen wanneer ze worden gerealiseerd, zodat u ze snel kunt analyseren en erop kunt reageren. De analyseregels van Microsoft Sentinel (near-real-time) bieden u snellere detectie van bedreigingen, dichter bij die van een on-premises SIEM, en de mogelijkheid om reactietijden in specifieke scenario's te verkorten.

De bijna realtime analyseregels van Microsoft Sentinel bieden out-of-the-minute detectie van bedreigingen. Dit type regel is ontworpen om zeer responsief te zijn door de query met intervallen van slechts één minuut uit te voeren.

Hoe werken ze?

NRT-regels zijn vastgelegd om eenmaal per minuut uit te voeren en gebeurtenissen vast te leggen die in de voorgaande minuut zijn opgenomen, zodat u zo snel mogelijk informatie kunt verstrekken.

In tegenstelling tot reguliere geplande regels die worden uitgevoerd op een ingebouwde vertraging van vijf minuten om rekening te houden met vertraging van opnametijd, worden NRT-regels uitgevoerd op slechts twee minuten, waardoor het probleem met opnamevertraging wordt opgelost door een query uit te voeren op de opnametijd van gebeurtenissen in plaats van de generatietijd op de bron (het veld TimeGenerated). Dit resulteert in verbeteringen van zowel frequentie als nauwkeurigheid in uw detecties. (Als u dit probleem volledig wilt begrijpen, raadpleegt u Queryplanning en waarschuwingsdrempel en opnamevertraging verwerken in geplande analyseregels.)

NRT-regels hebben veel van dezelfde functies en mogelijkheden als geplande analyseregels. De volledige set mogelijkheden voor waarschuwingsverrijking is beschikbaar: u kunt entiteiten toewijzen en aangepaste details weergeven en dynamische inhoud configureren voor waarschuwingsdetails. U kunt kiezen hoe waarschuwingen worden gegroepeerd in incidenten, u kunt de uitvoering van een query tijdelijk onderdrukken nadat er een resultaat is gegenereerd en u kunt automatiseringsregels en playbooks definiëren die moeten worden uitgevoerd als reactie op waarschuwingen en incidenten die zijn gegenereerd op basis van de regel.

Deze sjablonen hebben voorlopig een beperkte toepassing, zoals hieronder wordt beschreven, maar de technologie ontwikkelt en groeit snel.

Overwegingen

De volgende beperkingen zijn momenteel van toepassing op het gebruik van NRT-regels:

1. Op dit moment kunnen maximaal 50 regels per klant worden gedefinieerd.

2. NRT-regels werken standaard alleen goed voor logboekbronnen met een opnamevertraging van minder dan 12 uur.

   (Aangezien het nrT-regeltype bij benadering realtime gegevensopname moet bevatten, heeft het geen voordeel om NRT-regels te gebruiken voor logboekbronnen met een aanzienlijke opnamevertraging, zelfs als het veel minder dan 12 uur duurt.)

3. De syntaxis voor dit type regel verandert geleidelijk. Op dit moment blijven de volgende beperkingen van kracht:

   1. Omdat dit regeltype real time benadert, hebben we de ingebouwde vertraging tot een minimum (twee minuten) beperkt.

   2. Omdat NRT-regels de opnametijd gebruiken in plaats van de tijd voor het genereren van gebeurtenissen (vertegenwoordigd door het veld TimeGenerated), kunt u de vertraging van de gegevensbron en de latentie van de opnametijd gewoon negeren (zie hierboven).

   3. Query's kunnen slechts binnen één werkruimte worden uitgevoerd. Het is niet mogelijk om werkruimten te overschrijden.

   4. Gebeurtenisgroepering kan nu in beperkte mate worden geconfigureerd. NRT-regels kunnen maximaal 30 waarschuwingen met één gebeurtenis produceren. Een regel met een query die resulteert in meer dan 30 gebeurtenissen, produceert waarschuwingen voor de eerste 29 en vervolgens een 30e waarschuwing waarin alle toepasselijke gebeurtenissen worden samengevat.

   5. Query's die zijn gedefinieerd in een NRT-regel, kunnen nu verwijzen naar meer dan één tabel.

Volgende stappen

In dit document hebt u geleerd hoe analyseregels in bijna realtime (NRT) werken in Microsoft Sentinel.

• Meer informatie over het maken van NRT-regels.
• Meer informatie over andere typen analyseregels.