Detectar ameaças rapidamente com regras de análise NRT (quase em tempo real) no Microsoft Sentinel

  • Artigo

O que são regras de análise NRT (quase em tempo real)?

Quando você se depara com ameaças de segurança, o tempo e a velocidade são fatores críticos. Você precisa estar ciente das ameaças à medida que elas se materializam para que possa analisar e responder rapidamente para contê-las. As regras de análise quase em tempo real (NRT) do Microsoft Sentinel oferecem detecção de ameaças mais rápida, mais perto da de um SIEM local, e permite reduzir os tempos de resposta em cenários específicos.

As regras de análise quase em tempo real do Microsoft Sentinel oferecem uma detecção de ameaças minuto a minuto, para uso imediato. Esse tipo de regra foi desenvolvido para ser altamente responsivo, executando a consulta em intervalos de apenas um minuto.

Como elas funcionam?

As regras NRT são embutidas em código para serem executadas uma vez por minuto e capturarem os eventos ingeridos no minuto anterior, para fornecer as informações mais atualizadas possíveis.

Ao contrário das regras agendadas regulares que são executadas com um atraso predefinido de cinco minutos para considerar o retardo do tempo de ingestão, as regras NRT são executadas com um atraso de apenas dois minutos. O problema do atraso de ingestão é resolvido porque a consulta é feita no tempo de ingestão dos eventos não no tempo de geração na fonte (o campo TimeGenerated). Isso resulta no aprimoramento da frequência e da precisão das detecções. (Para entender esse problema mais completamente, consulte Agendamento de consultas e limite de alerta e Lidar com atraso de ingestão em regras de análise agendadas.)

As regras NRT têm vários dos mesmos recursos e funcionalidades que as regras de análise agendadas. O conjunto completo de funcionalidades de enriquecimento de alerta está disponível. Você pode mapear entidades e revelar detalhes personalizados, além de configurar o conteúdo dinâmico para obter detalhes do alerta. Você pode escolher como os alertas são agrupados em incidentes, suprimir temporariamente a execução de uma consulta após a geração de um resultado e definir regras de automação e guias estratégicos a serem executados em resposta a alertas e incidentes gerados pela regra.

Por enquanto, esses modelos têm uma aplicação limitada, conforma a descrição abaixo, mas a tecnologia está evoluindo e sendo aprimorada rapidamente.

Considerações

As seguintes limitações se aplicam ao uso das regras NRT no momento:

  1. No momento, não é possível definir mais de 50 regras por cliente.

  2. Por design, as regras NRT funcionarão corretamente em fontes de log com um atraso de ingestão inferior a 12 horas.

    (Como o tipo de regra NRT deve aproximar a ingestão de dados em tempo real, ele não oferece qualquer vantagem para usar as regras NRT em fontes de log com atraso significativo de ingestão, mesmo que seja muito menor que 12 horas.)

  3. A sintaxe para esse tipo de regra está evoluindo gradualmente. No momento, as seguintes limitações permanecem em vigor:

    1. Como esse tipo de regra age quase em tempo real, reduzimos o atraso interno ao mínimo (dois minutos).

    2. Como as regras NRT usam o tempo de ingestão em vez do tempo de geração de eventos (representado pelo campo TimeGenerated), você pode ignorar com segurança o atraso da fonte de dados e a latência do tempo de ingestão (veja acima).

    3. As consultas podem ser executadas em um só workspace. Não existe uma funcionalidade entre workspaces.

    4. O agrupamento de eventos agora é configurável em um grau limitado. As regras NRT podem produzir até 30 alertas de evento único. Uma regra com uma consulta que resulta em mais de 30 eventos produzirá alertas para os primeiros 29, então um 30º alerta resumindo todos os eventos aplicáveis.

    5. As consultas definidas em uma regra NRT agora podem fazer referência a mais de uma tabela.

Próximas etapas

Neste documento, você aprendeu como as regras de análise NRT (quase em tempo real) funcionam no Microsoft Sentinel.