Práce s analytickými pravidly detekce téměř v reálném čase (NRT) v Microsoft Sentinelu

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Analytická pravidla Microsoft Sentinelu téměř v reálném čase poskytují průběžné zjišťování hrozeb po minutách. Tento typ pravidla byl navržen tak, aby byl vysoce responzivní spuštěním dotazu v intervalech jen jednu minutu od sebe.

V současné době mají tyto šablony omezenou aplikaci, jak je uvedeno níže, ale technologie se rychle vyvíjí a roste.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Zobrazit pravidla téměř v reálném čase (NRT)

Azure Portal

1. V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.

2. Na obrazovce Analýza s vybranou kartou Aktivní pravidla vyfiltrujte seznam šablon NRT:

   1. V seznamu filtrů vyberte Přidat filtr a zvolte Typ pravidla.

   2. Ve výsledném seznamu vyberte NRT. Potom vyberte Použít.

Portál Defenderu

1. V navigační nabídce v programu Microsoft Defender rozbalte Položku Microsoft Sentinel a pak Konfiguraci. Vyberte Analýza.

2. Na obrazovce Analýza s vybranou kartou Aktivní pravidla vyfiltrujte seznam šablon NRT:

   1. V seznamu filtrů vyberte Přidat filtr a zvolte Typ pravidla.

   2. Ve výsledném seznamu vyberte NRT. Potom vyberte Použít.

Vytvoření pravidel NRT

Pravidla NRT vytvoříte stejným způsobem jako pravidel pravidelné analýzy naplánovaných dotazů:

Azure Portal

1. V části Konfigurace navigační nabídky Microsoft Sentinelu vyberte Analýza.

2. Na panelu akcí v horní části vyberte +Vytvořit a vyberte pravidlo dotazu NRT. Tím se otevře průvodce analytickým pravidlem.

   

Portál Defenderu

1. V navigační nabídce v programu Microsoft Defender rozbalte Položku Microsoft Sentinel a pak Konfiguraci. Vyberte Analýza.

2. Na panelu akcí v horní části mřížky vyberte +Vytvořit a vyberte pravidlo dotazu NRT. Tím se otevře průvodce analytickým pravidlem.

   

3. Postupujte podle pokynů průvodce analytickým pravidlem.

   Konfigurace pravidel NRT je ve většině způsobů stejná jako u pravidel plánované analýzy.

   • V logice dotazu můžete odkazovat na několik tabulek a seznamů ke zhlédnutí.

   • Můžete použít všechny metody rozšiřování výstrah: mapování entit, vlastní podrobnosti a podrobnosti výstrahy.

   • Můžete zvolit, jak seskupit výstrahy do incidentů a potlačit dotaz, když se vygeneruje konkrétní výsledek.

   • Můžete automatizovat odpovědi na výstrahy i incidenty.

   • Dotaz pravidla můžete spustit napříč několika pracovními prostory.

   Z důvodu povahy a omezení pravidel NRT však nebudou v průvodci k dispozici následující funkce pravidel plánované analýzy:

   • Plánování dotazů není konfigurovatelné, protože dotazy se automaticky plánují tak, aby se spouštěly jednou za minutu s jednominutovým obdobím zpětného vyhledávání.
   • Prahová hodnota upozornění je irelevantní, protože se vždy vygeneruje výstraha.
   • Konfigurace seskupení událostí je nyní dostupná v omezené míře. Můžete zvolit, že pravidlo NRT vygeneruje upozornění pro každou událost až pro 30 událostí. Pokud zvolíte tuto možnost a pravidlo způsobí více než 30 událostí, vygenerují se pro prvních 29 událostí výstrahy s jednou událostí a 30. výstraha shrne všechny události v sadě výsledků.

   Kromě toho by váš dotaz měl kvůli omezením velikosti výstrah použít project příkazy, aby obsahoval pouze potřebná pole z tabulky. Jinak by informace, které chcete zobrazit, mohly být zkráceny.

Další kroky

V tomto dokumentu jste se naučili vytvářet analytická pravidla téměř v reálném čase (NRT) v Microsoft Sentinelu.

• Přečtěte si další informace o analytických pravidlech téměř v reálném čase (NRT) v Microsoft Sentinelu.
• Prozkoumejte další typy analytických pravidel.