在 Microsoft Sentinel 中使用近乎即時的 (NRT) 偵測分析規則

重要

Microsoft Sentinel 的 近乎即時分析規則 會提供最新的最新威脅偵測功能。 這種類型的規則的設計,是在一分鐘內執行其查詢的間隔時間,以達到高回應性。

屆時,這些範本的應用程式如下所述,但這項技術的發展和成長速度很快。

觀看近即時的 (NRT) 規則

  1. 從 Microsoft Sentinel 導覽功能表中,選取 [ 分析]。

  2. 在 [分析] 分頁的 [作用中 規則] 索引標籤中,篩選 NRT 範本的清單:

    1. 按一下 [ 規則類型 ] 篩選,然後按一下出現在下方的下拉式清單。

    2. 取消 選取[全選],然後 mark NRT

    3. 如有必要,請按一下下拉式清單頂端的下拉式清單,然後按一下 [確定]

建立 NRT 規則

建立 NRT 規則的方式與建立一般 排程查詢分析規則的方式相同:

  1. 從 Microsoft Sentinel 導覽功能表中,選取 [ 分析]。

  2. 從按鈕列選取 [ 建立 ],然後從下拉式清單中 NRT 查詢規則 ]。

    建立新的 NRT 規則。

  3. 遵循 [分析規則] 嚮導的指示。

    NRT 規則的設定與排程分析規則的大部分方式相同。

    不過,由於 NRT 規則的本質和限制,因此下列排程分析規則的功能將無法在 wizard 中 使用

    • 查詢排程 無法設定,因為查詢會自動排程為每分鐘以一分鐘的回顧期間執行一次。
    • 警示閾值 是不相關的,因為一律會產生警示。
    • 事件群組 設定無法使用,因為事件一律會分組到用來捕捉事件的規則所建立的警示。 NRT 規則無法針對每個事件產生警示。

    此外,查詢本身具有下列需求:

    • 查詢本身只能參考單一資料表,且不能包含等位或聯結。

    • 您無法跨工作區執行查詢。

    • 由於警示的大小限制,您的查詢應該利用 project 語句,只包含資料表中的必要欄位。 否則,您想要呈現的資訊最後可能會被截斷。

下一步

在本檔中,您已瞭解如何在 Microsoft Sentinel 中建立近乎即時的 (NRT) 分析規則。