Быстрое обнаружение угроз с использованием правил аналитики NRT в Microsoft Sentinel
При столкновении с угрозами безопасности время и скорость играют важную роль. Необходимо узнавать об угрозах по мере их появления, чтобы их анализировать и быстро реагировать. Правила аналитики Microsoft Sentinel практически в режиме реального времени (NRT) предлагают более быстрое обнаружение угроз ( ближе к локальному SIEM) и возможность сократить время отклика в определенных сценариях.
Правила аналитики почти в реальном времени Microsoft Sentinel обеспечивают своевременное (до минуты) обнаружение угроз без дополнительной настройки. Этот тип правил рассчитан на высокую скорость реагирования, выполняя запросы с интервалом всего в одну минуту.
Как работают правила NRT
Правила NRT жестко закодированы, чтобы выполняться каждые минуты и записывать события, приема которых за предыдущую минуту, чтобы предоставить вам информацию как можно до минуты.
В отличие от регулярных запланированных правил, которые выполняются со встроенной пятиминутной задержкой для учета запаздывания времени приема, правила NRT выполняются с задержкой не более двух минут, что позволяет решить проблему задержки приема, запрашивая время приема событий, а не время их создания в источнике (поле TimeGenerated). За счет этого увеличивается скорость и точность при обнаружении. (Чтобы узнать об этом подробнее, обратитесь к статьям Планирование запросов и пороговое значение оповещения и Обработка задержки приема данных в запланированных правилах аналитики.)
Правила NRT обладают многими функциями и возможностями, характерными для запланированных правил аналитики. Доступен полный набор возможностей обогащения оповещений— можно сопоставить сущности и пользовательские сведения о поверхности, а также настроить динамическое содержимое для сведений об оповещении. Вы можете выбрать способ группировки оповещений в инциденты. Можно временно подавить выполнение запроса после создания результата, а также определить правила автоматизации и сборники схем, которые будут выполняться в ответ на оповещения и инциденты, сгенерированные правилом.
В то же время эти шаблоны имеют ограниченное применение, как описано ниже, но технология быстро развивается и совершенствуется.
Рекомендации
В настоящее время в отношении правил NRT применяются следующие ограничения:
В настоящее время для каждого клиента можно определить не более 50 правил.
По умолчанию правила NRT будут правильно работать только в источниках журналов с задержкой приема менее 12 часов.
(Так как тип правила NRT должен приблизиться к приему данных в режиме реального времени, использование правил NRT для источников журналов с значительной задержкой приема не дает никаких преимуществ, даже если эта задержка намного меньше 12 часов.)
Синтаксис этого типа правила постепенно развивается. В настоящее время следующие ограничения остаются в силе:
Поскольку тип правила практически в реальном времени, мы сократили встроенную задержку до минимума (две минуты).
Поскольку правила NRT используют время приема, а не время создания события (указанное в поле TimeGenerated), вы можете игнорировать задержку источника данных и задержку приема (см. выше).
Теперь запросы могут выполняться в нескольких рабочих областях.
Теперь группирование событий настраивается в ограниченной степени. Правила NRT могут создавать до 30 оповещений с одним событием. Правило с запросом, которое приводит к более чем 30 событиям, будет создавать оповещения для первых 29, а затем 30-е оповещение, которое суммирует все применимые события.
Запросы, определенные в правиле NRT, теперь могут ссылаться на несколько таблиц.
Следующие шаги
Из этого документа вы узнали, как правила аналитики практически в реальном времени (NRT) работают в Microsoft Sentinel.
- Узнайте, как создавать правила NRT.
- Сведения о других типах правил аналитики.