Snabb hotidentifiering med analysregler för nära realtid (NRT) i Microsoft Sentinel
När du står inför säkerhetshot är tid och hastighet av avgörande betydelse. Du måste vara medveten om hot när de materialiseras så att du snabbt kan analysera och svara för att begränsa dem. Microsoft Sentinels nrt-analysregler (near-real-time) ger dig snabbare hotidentifiering – närmare en lokal SIEM– och möjligheten att förkorta svarstiderna i specifika scenarier.
Microsoft Sentinels analysregler i nära realtid ger en uppdaterad hotidentifiering. Den här typen av regel har utformats för att vara mycket dynamisk genom att köra frågan med intervall med bara en minuts mellanrum.
Så här fungerar NRT-regler
NRT-regler hårdkodas för att köras en gång i minuten och avbilda händelser som matas in i föregående minut för att ge dig information så upp till minuten som möjligt.
Till skillnad från vanliga schemalagda regler som körs på en inbyggd femminutersfördröjning för att ta hänsyn till fördröjning av inmatningstiden, körs NRT-regler på bara två minuters fördröjning, vilket löser problemet med inmatningsfördröjning genom att fråga efter händelsers inmatningstid i stället för deras generationstid vid källan (fältet TimeGenerated). Detta resulterar i förbättringar av både frekvens och noggrannhet i dina identifieringar. (Mer information om problemet finns i Frågeschemaläggning och aviseringströskel och Hantera inmatningsfördröjning i schemalagda analysregler.)
NRT-regler har många av samma funktioner som schemalagda analysregler. Den fullständiga uppsättningen funktioner för aviseringsberikning är tillgänglig– du kan mappa entiteter och anpassad information för ytan och du kan konfigurera dynamiskt innehåll för aviseringsinformation. Du kan välja hur aviseringar grupperas i incidenter, du kan tillfälligt förhindra körningen av en fråga när den genererar ett resultat och du kan definiera automatiseringsregler och spelböcker som ska köras som svar på aviseringar och incidenter som genereras från regeln.
För närvarande har dessa mallar ett begränsat program enligt beskrivningen nedan, men tekniken utvecklas snabbt och växer.
Att tänka på
Följande begränsningar styr för närvarande användningen av NRT-regler:
Det går för närvarande inte att definiera fler än 50 regler per kund.
Enligt design fungerar NRT-regler endast korrekt på loggkällor med en inmatningsfördröjning på mindre än 12 timmar.
(Eftersom NRT-regeltypen är tänkt att ungefärlig datainmatning i realtid ger det dig ingen fördel att använda NRT-regler på loggkällor med betydande inmatningsfördröjning, även om det är mycket mindre än 12 timmar.)
Syntaxen för den här typen av regel utvecklas gradvis. För närvarande gäller följande begränsningar:
Eftersom den här regeltypen är nästan i realtid har vi minskat den inbyggda fördröjningen till ett minimum (två minuter).
Och eftersom NRT-regler använder inmatningstiden i stället för tiden då händelsen genereras (vilket representeras av fältet TimeGenerated) kan du ignorera fördröjningen för datakällan och svarstiden för inmatningstid (se ovan).
Frågor kan nu köras över flera arbetsytor.
Händelsegruppering kan nu konfigureras i begränsad utsträckning. NRT-regler kan generera upp till 30 enhändelseaviseringar. En regel med en fråga som resulterar i fler än 30 händelser skapar aviseringar för den första 29 och sedan en 30:e avisering som sammanfattar alla tillämpliga händelser.
Frågor som definierats i en NRT-regel kan nu referera till fler än en tabell.
Nästa steg
I det här dokumentet har du lärt dig hur NRT-analysregler (near-real-time) fungerar i Microsoft Sentinel.
- Lär dig hur du skapar NRT-regler.
- Läs mer om andra typer av analysregler.