Sdílet prostřednictvím

Rychlá detekce hrozeb pomocí analytických pravidel NRT (near-real-time) v Microsoft Sentinelu

  • Článek

Když se setkáte s bezpečnostními hrozbami, čas a rychlost jsou podstatou. Při materializaci je potřeba vědět o hrozbách, abyste je mohli rychle analyzovat a reagovat na ně. Analytická pravidla Microsoft Sentinelu téměř v reálném čase (NRT) nabízejí rychlejší detekci hrozeb ( blíže k místnímu systému SIEM) a možnost zkrátit dobu odezvy v konkrétních scénářích.

Analytická pravidla Microsoft Sentinelu téměř v reálném čase poskytují průběžné zjišťování hrozeb po minutách. Tento typ pravidla byl navržen tak, aby byl vysoce responzivní spuštěním dotazu v intervalech jen jednu minutu od sebe.

Jak fungují pravidla NRT

Pravidla NRT jsou pevně zakódovaná tak, aby běžela jednou za minutu a zachytávají události přijatých v předchozí minutě, abyste měli k dispozici co nejvíce informací.

Na rozdíl od běžných naplánovaných pravidel, která běží na integrovaném pětiminutovém zpoždění, která zohledňují prodlevu příjmu dat, běží pravidla NRT pouze na dvouminutové zpoždění a řeší problém zpoždění příjmu dat dotazováním času příjmu událostí místo času jejich generování ve zdroji (pole TimeGenerated). Výsledkem je zlepšení četnosti i přesnosti vašich detekcí. (Pokud chcete tomuto problému lépe porozumět, přečtěte si téma Plánování dotazů a prahová hodnota upozornění a zpracování zpoždění příjmu dat v plánovaných analytických pravidlech.)

Pravidla NRT mají mnoho stejných funkcí a možností jako pravidla plánované analýzy. K dispozici je úplná sada možností rozšiřování výstrah – můžete mapovat entity a vlastní podrobnosti a nakonfigurovat dynamický obsah pro podrobnosti výstrahy. Můžete zvolit, jak se výstrahy seskupí do incidentů, můžete dočasně potlačit spuštění dotazu po vygenerování výsledku a definovat pravidla automatizace a playbooky, které se mají spouštět v reakci na výstrahy a incidenty vygenerované z pravidla.

V současné době mají tyto šablony omezenou aplikaci, jak je uvedeno níže, ale technologie se rychle vyvíjí a roste.

Důležité informace

Používání pravidel NRT se v současné době řídí následujícími omezeními:

  • Pro zákazníka v tuto chvíli není možné definovat více než 50 pravidel.

  • Pravidla NRT budou na zdrojích protokolů fungovat správně pouze se zpožděním příjmu dat kratším než 12 hodin.

    (Vzhledem k tomu, že typ pravidla NRT má přibližný příjem dat v reálném čase , není vám k dispozici žádná výhoda použití pravidel NRT pro zdroje protokolů s významným zpožděním příjmu dat, i když je mnohem méně než 12 hodin.)

  • Syntaxe tohoto typu pravidla se postupně vyvíjí. V tuto chvíli platí následující omezení:

    • Vzhledem k tomu, že tento typ pravidla funguje téměř v reálném čase, zkrátili jsme předdefinované zpoždění na minimum (2 minuty).

    • Vzhledem k tomu, že pravidla NRT místo času vygenerování události (pole TimeGenerated) používají čas příjmu dat, můžete zpoždění zdroje dat a latenci příjmu dat bezpečně ignorovat (viz výše).

    • Dotazy je možné spouštět pouze v rámci jednoho pracovního prostoru. Možnost spouštět dotazy napříč pracovními prostory se nepodporuje.

    • Seskupování událostí je teď možné konfigurovat v omezené míře. Pravidla NRT můžou vytvářet až 30 výstrah s jednou událostí. Pravidlo s dotazem, které vede k více než 30 událostem, vytvoří výstrahy pro prvních 29 a 30. výstrahu, která shrnuje všechny příslušné události.

    • Dotazy definované v pravidle NRT teď můžou odkazovat na více než jednu tabulku.

Další kroky

V tomto dokumentu jste se dozvěděli, jak v Microsoft Sentinelu fungují analytická pravidla téměř v reálném čase (NRT).