Praca z regułami analizy wykrywania niemal w czasie rzeczywistym (NRT) w programie Microsoft Sentinel

Ważne

  • Reguły niemal w czasie rzeczywistym (NRT) są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub nie są jeszcze ogólnie dostępne, znajdują się w uzupełniających warunkach użytkowania usługi Microsoft Azure Preview.

Reguły analizy niemal w czasie rzeczywistym usługi Microsoft Sentinel zapewniają od pierwszej do minuty wykrywanie zagrożeń. Ten typ reguły został zaprojektowany tak, aby szybko reagował, uruchamiając zapytanie w odstępach zaledwie jednej minuty.

Na razie te szablony mają ograniczoną aplikację, jak opisano poniżej, ale technologia szybko się rozwija i rośnie.

Wyświetlanie reguł niemal w czasie rzeczywistym (NRT)

  1. W menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Na karcie Aktywne reguły bloku Analiza odfiltruj listę szablonów NRT:

    1. Kliknij filtr Typ reguły, a następnie listę rozwijaną, która zostanie wyświetlona poniżej.

    2. Zaznacz wszystko, a następnie oznacz pole NRT.

    3. W razie potrzeby kliknij górną część listy rozwijanej, aby ją wycofać, a następnie kliknij przycisk OK.

Tworzenie reguł NRT

Reguły NRT tworzy się w taki sam sposób, jak w przypadku tworzenia regularnych reguł analizy zaplanowanych zapytań:

  1. W menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Wybierz pozycję Utwórz na pasku przycisku, a następnie pozycję Reguła zapytania NRT z listy rozwijanej.

    Utwórz nową regułę NRT.

  3. Postępuj zgodnie z instrukcjami kreatora reguł analizy.

    Konfiguracja reguł NRT jest w większości przypadków taka sama jak w przypadku reguł analizy zaplanowanej.

    Ze względu na charakter i ograniczenia reguł NRTnastępujące funkcje reguł analizy zaplanowanej nie będą dostępne w kreatorze:

    • Planowanie zapytań nie jest konfigurowalne, ponieważ zapytania są automatycznie zaplanowane do uruchamiania raz na minutę z jednominutowym okresem wyszukiwania.
    • Próg alertu jest nieistotny, ponieważ alert jest zawsze generowany.
    • Konfiguracja grupowania zdarzeń nie jest dostępna, ponieważ zdarzenia są zawsze grupowane w alert utworzony przez regułę, która przechwytuje zdarzenia. Reguły NRT nie mogą tworzyć alertów dla każdego zdarzenia.

    Ponadto samo zapytanie ma następujące wymagania:

    • Samo zapytanie może odwoływać się tylko do jednej tabeli i nie może zawierać unii ani sprzężenia.

    • Nie można uruchomić zapytania w obszarach roboczych.

    • Ze względu na limity rozmiaru alertów zapytanie powinno używać instrukcji w celu dołączania tylko niezbędnych pól project z tabeli. W przeciwnym razie informacje, które chcesz pokazać, mogą zostać obcięte.

Następne kroki

W tym dokumencie opisano sposób tworzenia reguł analitycznych niemal w czasie rzeczywistym (NRT) w programie Microsoft Sentinel.