Rychlá detekce hrozeb s využitím analytických pravidel téměř v reálném čase (NRT) ve službě Microsoft Sentinel

  • Článek

Co jsou analytická pravidla NRT (near-real-time)?

Když se setkáte s bezpečnostními hrozbami, čas a rychlost jsou podstatou. Při materializaci je potřeba vědět o hrozbách, abyste je mohli rychle analyzovat a reagovat na ně. Analytická pravidla Microsoft Sentinelu téměř v reálném čase (NRT) nabízejí rychlejší detekci hrozeb ( blíže k místnímu systému SIEM) a možnost zkrátit dobu odezvy v konkrétních scénářích.

Analytická pravidla Microsoft Sentinelu téměř v reálném čase poskytují průběžné zjišťování hrozeb po minutách. Tento typ pravidla byl navržen tak, aby byl vysoce responzivní spuštěním dotazu v intervalech jen jednu minutu od sebe.

Jak fungují?

Pravidla NRT jsou pevně zakódovaná tak, aby běžela jednou za minutu a zachytávají události ingestované v předchozí minutě, aby vám bylo možné poskytnout co nejvíce informací.

Na rozdíl od běžných naplánovaných pravidel, která běží na integrovaném pětiminutovém zpoždění, která zohledňují prodlevu příjmu dat, běží pravidla NRT pouze na dvouminutové zpoždění a řeší problém zpoždění příjmu dat dotazováním času příjmu událostí místo času jejich generování ve zdroji (pole TimeGenerated). Výsledkem je zlepšení četnosti i přesnosti vašich detekcí. (Pokud chcete tomuto problému lépe porozumět, přečtěte si téma Plánování dotazů a prahová hodnota upozornění a zpracování zpoždění příjmu dat v plánovaných analytických pravidlech.)

Pravidla NRT mají mnoho stejných funkcí a možností jako pravidla plánované analýzy. K dispozici je úplná sada možností rozšiřování výstrah – můžete mapovat entity a vlastní podrobnosti a nakonfigurovat dynamický obsah pro podrobnosti výstrahy. Můžete zvolit, jak se výstrahy seskupí do incidentů, můžete dočasně potlačit spuštění dotazu po vygenerování výsledku a definovat pravidla automatizace a playbooky, které se mají spouštět v reakci na výstrahy a incidenty vygenerované z pravidla.

V současné době mají tyto šablony omezenou aplikaci, jak je uvedeno níže, ale technologie se rychle vyvíjí a roste.

Důležité informace

Používání pravidel NRT se v současné době řídí následujícími omezeními:

  1. Pro zákazníka v tuto chvíli není možné definovat více než 50 pravidel.

  2. Pravidla NRT budou na zdrojích protokolů fungovat správně pouze se zpožděním příjmu dat kratším než 12 hodin.

    (Vzhledem k tomu, že typ pravidla NRT má přibližný příjem dat v reálném čase , není vám k dispozici žádná výhoda použití pravidel NRT pro zdroje protokolů s významným zpožděním příjmu dat, i když je mnohem méně než 12 hodin.)

  3. Syntaxe tohoto typu pravidla se postupně vyvíjí. V tuto chvíli platí následující omezení:

    1. Vzhledem k tomu, že tento typ pravidla funguje téměř v reálném čase, zkrátili jsme předdefinované zpoždění na minimum (2 minuty).

    2. Vzhledem k tomu, že pravidla NRT místo času vygenerování události (pole TimeGenerated) používají čas příjmu dat, můžete zpoždění zdroje dat a latenci příjmu dat bezpečně ignorovat (viz výše).

    3. Dotazy je možné spouštět pouze v rámci jednoho pracovního prostoru. Možnost spouštět dotazy napříč pracovními prostory se nepodporuje.

    4. Seskupování událostí je teď možné konfigurovat v omezené míře. Pravidla NRT můžou vytvářet až 30 výstrah s jednou událostí. Pravidlo s dotazem, které vede k více než 30 událostem, vytvoří výstrahy pro prvních 29 a 30. výstrahu, která shrnuje všechny příslušné události.

    5. Dotazy definované v pravidle NRT teď můžou odkazovat na více než jednu tabulku.

Další kroky

V tomto dokumentu jste se dozvěděli, jak v Microsoft Sentinelu fungují analytická pravidla téměř v reálném čase (NRT).