Поделиться через

Использование правил аналитики обнаружения практически в реальном времени (NRT) в Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Правила аналитики почти в реальном времени Microsoft Sentinel обеспечивают своевременное (до минуты) обнаружение угроз без дополнительной настройки. Этот тип правил рассчитан на высокую скорость реагирования, выполняя запросы с интервалом всего в одну минуту.

В то же время эти шаблоны имеют ограниченное применение, как описано ниже, но технология быстро развивается и совершенствуется.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Просмотр правил практически в реальном времени (NRT)

  1. В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".

  2. На экране "Аналитика" с выбранной вкладкой "Активные правила" отфильтруйте список шаблонов NRT:

    1. Выберите " Добавить фильтр " и выберите тип правила из списка фильтров.

    2. В результирующем списке выберите NRT. Затем выберите Применить.

Создание правил NRT

Правила NRT создаются так же, как и обычные запланированные правила аналитики запросов.

  1. В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".

  2. В верхней части панели действий нажмите кнопку +Создать и выберите правило запроса NRT. Откроется Мастер правил аналитики.

    Снимок экрана: создание нового правила NRT.

  1. Следуйте инструкциям мастера правил аналитики.

    Настройка правил NRT почти во всем совпадает с настройкой запланированных правил аналитики.

    • Вы можете ссылаться на несколько таблиц и списков наблюдения в логике запроса.

    • Вы можете использовать все доступные методы обогащения оповещений: сопоставление сущностей, пользовательские сведения и сведения об оповещениях.

    • Вы можете выбрать способ группировки предупреждений в инциденты и подавлять запрос при получении определенного результата.

    • Вы можете автоматизировать ответы на оповещения и инциденты.

    • Запрос правила можно выполнять в нескольких рабочих областях.

    Но в силу особенностей и ограничений правил NRT следующие функции запланированных правил аналитики не будут доступны в мастере.

    • Планирование запросов не настраивается, так как запросы всегда выполняются один раз в минуту и всегда оценивают данные за одну последнюю минуту.
    • Пороговое значение оповещения не имеет значения, так как оповещение создается всегда.
    • Конфигурация группирования событий теперь доступна в ограниченной степени. Правило NRT можно создать оповещение для каждого события до 30 событий. Если этот параметр выбран и правило приводит к более чем 30 событиям, то для первых 29 событий будут созданы оповещения с одним событием, а 30-е оповещение обобщает все события в результирующем наборе.

    Кроме того, из-за ограничений размера оповещений запрос должен использовать project инструкции, чтобы включить только необходимые поля из таблицы. В противном случае информация, которую вы пытаетесь получить, может быть обрезана.

Следующие шаги

Из этого документа вы узнали, как создать правила аналитики практически в реальном времени (NRT) в Microsoft Sentinel.