Szybkie wykrywanie zagrożeń za pomocą reguł analizy niemal w czasie rzeczywistym (NRT) w usłudze Microsoft Sentinel
Gdy masz do czynienia z zagrożeniami bezpieczeństwa, czas i szybkość są istotą. Należy pamiętać o zagrożeniach w miarę ich materializacji, aby umożliwić szybkie analizowanie i reagowanie na nie. Reguły analizy niemal w czasie rzeczywistym (NRT) w usłudze Microsoft Sentinel oferują szybsze wykrywanie zagrożeń — bliżej lokalnego rozwiązania SIEM — oraz możliwość skrócenia czasów odpowiedzi w określonych scenariuszach.
Reguły analizy niemal w czasie rzeczywistym w usłudze Microsoft Sentinel zapewniają gotowe do użycia gotowe wykrywanie zagrożeń. Ten typ reguły został zaprojektowany tak, aby był bardzo dynamiczny, uruchamiając zapytanie w odstępach zaledwie jedną minutę.
Jak działają reguły NRT
Reguły NRT są trwale kodowane do uruchamiania co minutę i przechwytywania zdarzeń pozyskanych w poprzedniej minucie, aby dostarczyć informacje tak do minuty, jak to możliwe.
W przeciwieństwie do regularnych zaplanowanych reguł, które są uruchamiane na wbudowanym pięciominutowym opóźnieniu, aby uwzględnić opóźnienie pozyskiwania, reguły NRT są uruchamiane tylko w ciągu dwóch minut, rozwiązując problem z opóźnieniem pozyskiwania, wykonując zapytanie dotyczące czasu pozyskiwania zdarzeń zamiast czasu generowania w źródle (pole TimeGenerated). Powoduje to ulepszenia zarówno częstotliwości, jak i dokładności wykrywania. (Aby lepiej zrozumieć ten problem, zobacz Planowanie zapytań i próg alertu oraz opóźnienie pozyskiwania danych w zaplanowanych regułach analizy).
Reguły NRT mają wiele tych samych funkcji i możliwości co reguły zaplanowanej analizy. Dostępny jest pełny zestaw funkcji wzbogacania alertów — można mapować jednostki i wyświetlać szczegóły niestandardowe, a zawartość dynamiczną można skonfigurować pod kątem szczegółów alertu. Możesz wybrać sposób grupowania alertów w zdarzenia. Możesz tymczasowo pominąć uruchamianie zapytania po wygenerowaniu wyniku, a także zdefiniować reguły automatyzacji i podręczniki, które będą uruchamiane w odpowiedzi na alerty i zdarzenia wygenerowane na podstawie reguły.
Obecnie te szablony mają ograniczoną aplikację, jak opisano poniżej, ale technologia szybko się rozwija i rozwija.
Kwestie wymagające rozważenia
Obecnie obowiązują następujące ograniczenia dotyczące używania reguł NRT:
Obecnie dla każdego klienta nie można zdefiniować więcej niż 50 reguł.
Zgodnie z projektem reguły NRT będą działać prawidłowo tylko w źródłach dzienników z opóźnieniem pozyskiwania krótszym niż 12 godzin.
(Ponieważ typ reguły NRT ma przybliżone pozyskiwanie danych w czasie rzeczywistym, nie zapewnia żadnej korzyści z używania reguł NRT w źródłach dzienników ze znacznym opóźnieniem pozyskiwania, nawet jeśli jest znacznie mniej niż 12 godzin).
Składnia tego typu reguły stopniowo ewoluuje. W tej chwili obowiązują następujące ograniczenia:
Ze względu na to, że ten typ reguły działa w czasie niemal rzeczywistym, zmniejszyliśmy wbudowane opóźnienie do minimum (do dwóch minut).
Ponieważ reguły NRT używają czasu pozyskiwania danych, a nie czasu generowania zdarzeń (reprezentowanego przez pole TimeGenerated), można bezpiecznie zignorować opóźnienie źródła danych i opóźnienie czasu pozyskiwania danych (patrz powyżej).
Zapytania można teraz uruchamiać w wielu obszarach roboczych.
Grupowanie zdarzeń można teraz konfigurować w ograniczonym stopniu. Reguły NRT mogą tworzyć maksymalnie 30 alertów o pojedynczym zdarzeniu. Reguła z zapytaniem, które powoduje wyświetlenie ponad 30 zdarzeń, spowoduje wygenerowanie alertów dla pierwszych 29, a następnie 30 alertu podsumowującego wszystkie odpowiednie zdarzenia.
Zapytania zdefiniowane w regule NRT mogą teraz odwoływać się do więcej niż jednej tabeli.
Następne kroki
W tym dokumencie przedstawiono sposób działania reguł analizy niemal w czasie rzeczywistym (NRT) w usłudze Microsoft Sentinel.
- Dowiedz się, jak tworzyć reguły NRT.
- Dowiedz się więcej o innych typach reguł analizy.