Rychlá detekce hrozeb pomocí analytických pravidel NRT (near-real-time) v Microsoft Sentinelu
Když se setkáte s bezpečnostními hrozbami, čas a rychlost jsou podstatou. Při materializaci je potřeba vědět o hrozbách, abyste je mohli rychle analyzovat a reagovat na ně. Analytická pravidla Microsoft Sentinelu téměř v reálném čase (NRT) nabízejí rychlejší detekci hrozeb ( blíže k místnímu systému SIEM) a možnost zkrátit dobu odezvy v konkrétních scénářích.
Analytická pravidla Microsoft Sentinelu téměř v reálném čase poskytují průběžné zjišťování hrozeb po minutách. Tento typ pravidla byl navržen tak, aby byl vysoce responzivní spuštěním dotazu v intervalech jen jednu minutu od sebe.
Jak fungují pravidla NRT
Pravidla NRT jsou pevně zakódovaná tak, aby běžela jednou za minutu a zachytávají události přijatých v předchozí minutě, abyste měli k dispozici co nejvíce informací.
Na rozdíl od běžných naplánovaných pravidel, která běží na integrovaném pětiminutovém zpoždění, která zohledňují prodlevu příjmu dat, běží pravidla NRT pouze na dvouminutové zpoždění a řeší problém zpoždění příjmu dat dotazováním času příjmu událostí místo času jejich generování ve zdroji (pole TimeGenerated). Výsledkem je zlepšení četnosti i přesnosti vašich detekcí. (Pokud chcete tomuto problému lépe porozumět, přečtěte si téma Plánování dotazů a prahová hodnota upozornění a zpracování zpoždění příjmu dat v plánovaných analytických pravidlech.)
Pravidla NRT mají mnoho stejných funkcí a možností jako pravidla plánované analýzy. K dispozici je úplná sada možností rozšiřování výstrah – můžete mapovat entity a vlastní podrobnosti a nakonfigurovat dynamický obsah pro podrobnosti výstrahy. Můžete zvolit, jak se výstrahy seskupí do incidentů, můžete dočasně potlačit spuštění dotazu po vygenerování výsledku a definovat pravidla automatizace a playbooky, které se mají spouštět v reakci na výstrahy a incidenty vygenerované z pravidla.
V současné době mají tyto šablony omezenou aplikaci, jak je uvedeno níže, ale technologie se rychle vyvíjí a roste.
Důležité informace
Používání pravidel NRT se v současné době řídí následujícími omezeními:
Pro zákazníka v tuto chvíli není možné definovat více než 50 pravidel.
Pravidla NRT budou na zdrojích protokolů fungovat správně pouze se zpožděním příjmu dat kratším než 12 hodin.
(Vzhledem k tomu, že typ pravidla NRT má přibližný příjem dat v reálném čase , není vám k dispozici žádná výhoda použití pravidel NRT pro zdroje protokolů s významným zpožděním příjmu dat, i když je mnohem méně než 12 hodin.)
Syntaxe tohoto typu pravidla se postupně vyvíjí. V tuto chvíli platí následující omezení:
Vzhledem k tomu, že tento typ pravidla funguje téměř v reálném čase, zkrátili jsme předdefinované zpoždění na minimum (2 minuty).
Vzhledem k tomu, že pravidla NRT místo času vygenerování události (pole TimeGenerated) používají čas příjmu dat, můžete zpoždění zdroje dat a latenci příjmu dat bezpečně ignorovat (viz výše).
Dotazy se teď můžou spouštět napříč několika pracovními prostory.
Seskupování událostí je teď možné konfigurovat v omezené míře. Pravidla NRT můžou vytvářet až 30 výstrah s jednou událostí. Pravidlo s dotazem, které vede k více než 30 událostem, vytvoří výstrahy pro prvních 29 a 30. výstrahu, která shrnuje všechny příslušné události.
Dotazy definované v pravidle NRT teď můžou odkazovat na více než jednu tabulku.
Další kroky
V tomto dokumentu jste se dozvěděli, jak v Microsoft Sentinelu fungují analytická pravidla téměř v reálném čase (NRT).
- Naučte se vytvářet pravidla NRT.
- Seznamte se s dalšími typy analytických pravidel.