Arbeta med identifieringsanalysregler i nära realtid (NRT) i Microsoft Sentinel

Viktigt

  • NRT-regler (near-real-time) finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.

Microsoft Sentinels analysregler nästan i realtid ger direktuppspelad hotidentifiering. Den här typen av regel har utformats för att vara mycket responsiv genom att köra frågan med intervaller med bara en minuts mellanrum.

För närvarande har dessa mallar ett begränsat program enligt beskrivningen nedan, men tekniken utvecklas snabbt och växer.

Visa REGLER i nära realtid (NRT)

  1. Från Microsoft Sentinel-navigeringsmenyn väljer du Analytics.

  2. Filtrera listan efter NRT-mallar fliken Aktiva regler på bladet Analytics:

    1. Klicka på filtret Regeltyp och sedan på listrutan som visas nedan.

    2. Avmarkera Markera alla och markera sedan NRT.

    3. Om det behövs klickar du på överst i listrutan för att dra tillbaka den och klickar sedan på OK.

Skapa NRT-regler

Du skapar NRT-regler på samma sätt som du skapar vanliga regler för schemalagd frågeanalys:

  1. Från Microsoft Sentinel-navigeringsmenyn väljer du Analytics.

  2. Välj Skapa i knappfältet och sedan NRT-frågeregel i listrutan.

    Skapa en ny NRT-regel.

  3. Följ anvisningarna i guiden för analysregel.

    Konfigurationen av NRT-regler är på de flesta sätt samma som för regler för schemalagd analys.

    På grund av nrt-reglernasnatur och begränsningar är dock följande funktioner i schemalagda analysregler inte tillgängliga i guiden:

    • Schemaläggning av frågor kan inte konfigureras eftersom frågor schemaläggs automatiskt att köras en gång per minut med en lookback-period på en minut.
    • Aviseringströskelvärdet är irrelevant eftersom en avisering alltid genereras.
    • Konfiguration av händelsegruppering är inte tillgänglig, eftersom händelser alltid grupperas i aviseringen som skapats av regeln som samlar in händelserna. NRT-regler kan inte skapa en avisering för varje händelse.

    Dessutom har själva frågan följande krav:

    • Själva frågan kan endast referera till en tabell och får inte innehålla unioner eller kopplingar.

    • Du kan inte köra frågan mellan arbetsytor.

    • På grund av storleksbegränsningarna för aviseringarna bör frågan använda project -instruktioner för att endast inkludera de obligatoriska fälten från tabellen. Annars kan den information som du vill visa trunkeras.

Nästa steg

I det här dokumentet har du lärt dig hur du skapar analysregler nästan i realtid (NRT) i Microsoft Sentinel.