在 Microsoft Sentinel 中使用近乎即時的偵測分析規則

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 的 近乎即時分析規則 提供現用的即時威脅偵測。 這種規則的設計目的是要以相隔一分鐘的間隔執行查詢，以高度回應。

目前，這些範本的應用程式有限，如下所述，但這項技術正在迅速演變和成長。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

檢視近乎實時的規則

Azure 入口網站

1. 從 Microsoft Sentinel 導覽功能表的 [設定] 區段，選取 [分析]。

2. 在 [分析] 畫面上，選取 [使用中規則] 索引卷標，篩選 NRT 範本的清單：

   1. 選取 [新增篩選] ，然後從篩選清單中選擇 [ 規則類型 ]。

   2. 從產生的清單中，選取 [NRT]。 接著選取套用。

Defender 入口網站

1. 從 [Microsoft Defender] 導覽功能表中，展開 [Microsoft Sentinel]，然後展開 [設定]。 選取分析。

2. 在 [分析] 畫面上，選取 [使用中規則] 索引卷標，篩選 NRT 範本的清單：

   1. 選取 [新增篩選] ，然後從篩選清單中選擇 [ 規則類型 ]。

   2. 從產生的清單中，選取 [NRT]。 接著選取套用。

建立 NRT 規則

建立 NRT 規則的方式與建立一般 排程查詢分析規則的方式相同：

Azure 入口網站

1. 從 Microsoft Sentinel 導覽功能表的 [設定] 區段，選取 [分析]。

2. 在頂端的動作列中，選取 [+建立 ]，然後選取 [ NRT 查詢規則]。 這會開啟 [分析規則精靈]。

   

Defender 入口網站

1. 從 [Microsoft Defender] 導覽功能表中，展開 [Microsoft Sentinel]，然後展開 [設定]。 選取分析。

2. 在方格頂端的動作列中，選取 [+建立 ]，然後選取 [NRT 查詢規則]。 這會開啟 [分析規則精靈]。

   

3. 遵循分析規則精靈的指示。

   NRT 規則的組態大部分方式與排程的分析規則相同。

   • 您可以在查詢邏輯中參考多個資料表和 監看清單 。

   • 您可以使用所有警示擴充方法：實體對應、自定義詳細數據和警示詳細數據。

   • 您可以選擇如何將警示分組為事件，並在產生特定結果時隱藏查詢。

   • 您可以將警示和事件的回應自動化。

   不過，由於 NRT 規則的性質和限制，因此精靈中將無法 使用 下列排程分析規則的功能：

   • 查詢排程 無法設定，因為查詢會自動排程為每分鐘執行一次，並具有一分鐘的回溯期間。
   • 警示閾值 無關，因為一律會產生警示。
   • 事件群組組態 現在可供有限程度使用。 您可以選擇讓 NRT 規則為每個事件產生最多 30 個事件的警示。 如果您選擇此選項，且規則會產生超過 30 個事件，則會針對前 29 個事件產生單一事件警示，而第 30 個警示將會摘要結果集中的所有事件。

   此外，查詢本身也有下列需求：

   • 您無法跨工作區執行查詢。

   • 由於警示的大小限制，您的查詢應該使用 project 語句，只包含數據表中的必要字段。 否則，您想要呈現的信息最終可能會遭到截斷。

下一步

在本檔中，您已瞭解如何在 Microsoft Sentinel 中建立近乎即時的分析規則。

• 深入瞭解 Microsoft Sentinel 中的近乎即時 （NRT） 分析規則。
• 探索其他 分析規則類型。