Praca z regułami analizy wykrywania niemal w czasie rzeczywistym (NRT) w usłudze Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Reguły analizy niemal w czasie rzeczywistym w usłudze Microsoft Sentinel zapewniają gotowe do użycia gotowe wykrywanie zagrożeń. Ten typ reguły został zaprojektowany tak, aby był bardzo dynamiczny, uruchamiając zapytanie w odstępach zaledwie jedną minutę.

Obecnie te szablony mają ograniczoną aplikację, jak opisano poniżej, ale technologia szybko się rozwija i rozwija.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wyświetlanie reguł niemal w czasie rzeczywistym (NRT)

  1. W sekcji Konfiguracja menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Na ekranie Analiza z wybraną kartą Aktywne reguły przefiltruj listę szablonów NRT:

    1. Wybierz pozycję Dodaj filtr i wybierz pozycję Typ reguły z listy filtrów.

    2. Z wynikowej listy wybierz pozycję NRT. Następnie wybierz pozycję Zastosuj.

Tworzenie reguł NRT

Reguły NRT są tworzone w taki sam sposób, jak w przypadku tworzenia regularnych reguł analizy zaplanowanych zapytań:

  1. W sekcji Konfiguracja menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

  2. Na pasku akcji u góry wybierz pozycję +Utwórz i wybierz regułę zapytania NRT. Spowoduje to otwarcie kreatora reguły analizy.

    Zrzut ekranu przedstawia sposób tworzenia nowej reguły NRT.

  1. Postępuj zgodnie z instrukcjami kreatora reguł analizy.

    Konfiguracja reguł NRT jest w większości taka sama jak w przypadku zaplanowanych reguł analizy.

    • W logice zapytań można odwoływać się do wielu tabel i list obserwowanych .

    • Możesz użyć wszystkich metod wzbogacania alertów: mapowania jednostek, szczegółów niestandardowych i szczegółów alertu.

    • Możesz wybrać sposób grupowania alertów w zdarzenia i pomijania zapytania po wygenerowaniu określonego wyniku.

    • Odpowiedzi na alerty i zdarzenia można zautomatyzować.

    Ze względu na charakter i ograniczenia reguł NRT następujące funkcje zaplanowanych reguł analizy nie będą jednak dostępne w kreatorze:

    • Planowanie zapytań nie jest konfigurowalne, ponieważ zapytania są automatycznie zaplanowane do uruchamiania raz na minutę z jednominutowym okresem wyszukiwania.
    • Próg alertu jest nieistotny, ponieważ alert jest zawsze generowany.
    • Konfiguracja grupowania zdarzeń jest teraz dostępna w ograniczonym stopniu. Możesz wybrać, że reguła NRT generuje alert dla każdego zdarzenia dla maksymalnie 30 zdarzeń. Jeśli wybierzesz tę opcję, a reguła będzie zawierać więcej niż 30 zdarzeń, alerty z jednym zdarzeniem zostaną wygenerowane dla pierwszych 29 zdarzeń, a 30 alert będzie zawierać podsumowanie wszystkich zdarzeń w zestawie wyników.

    Ponadto samo zapytanie ma następujące wymagania:

    • Nie można uruchomić zapytania między obszarami roboczymi.

    • Ze względu na limity rozmiaru alertów zapytanie powinno używać project instrukcji do uwzględnienia tylko niezbędnych pól z tabeli. W przeciwnym razie informacje, które chcesz wyświetlić, mogą zostać obcięte.

Następne kroki

W tym dokumencie przedstawiono sposób tworzenia reguł analizy niemal w czasie rzeczywistym (NRT) w usłudze Microsoft Sentinel.