Arbeiten mit Analyseregeln nahezu in Echtzeit (Near-Real-Time, NRT) in Microsoft Sentinel

Wichtig

  • NRT-Regeln (nahezu in Echtzeit) befinden sich derzeit in der Vorschauversion. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Microsoft Sentinels Nah-Echtzeit-Analyseregeln sorgen sofort nach der Installation für eine minutengenaue Erkennung von Bedrohungen. Diese Art von Regel wurde so konzipiert, dass sie extrem reaktionsschnell ist, indem sie ihre Abfrage in Abständen von nur einer Minute durchführt.

Im Moment haben diese Vorlagen nur eine begrenzte Anwendung, wie unten beschrieben, aber die Technologie entwickelt sich schnell weiter und wächst.

Anzeigen von Regeln nahezu in Echtzeit (Near-Real-Time, NRT)

  1. Wählen Sie im Navigationsmenü von Microsoft Sentinel die Optionen Analytik.

  2. Filtern Sie auf der Registerkarte Aktive Regeln des Blatts Analysen die Liste nach NRT-Vorlagen:

    1. Klicken Sie auf den Filter Regeltyp und dann auf die unten angezeigte Dropdownliste.

    2. Heben Sie die Markierung Alle auswählen auf, und markieren Sie dann die Option NRT.

    3. Klicken Sie bei Bedarf oben auf die Dropdownliste, um sie zu reduzieren, und klicken Sie dann auf OK.

Erstellen von NRT-Regeln

Sie erstellen NRT-Regeln auf die gleiche Weise wie reguläre Regeln für die Analyse geplanter Abfragen:

  1. Wählen Sie im Navigationsmenü von Microsoft Sentinel die Optionen Analytik.

  2. Wählen Sie in der Schaltflächenleiste die Option Erstellen und dann in der Dropdownliste die Option NRT-Abfrageregel aus.

    Create a new NRT rule.

  3. Befolgen Sie die Anweisungen des Analyseregel-Assistenten.

    Die Konfiguration von NRT-Regeln ist in vielerlei Hinsicht mit der Konfiguration geplanter Analyseregeln identisch.

    Aufgrund der Natur und der Einschränkungen von NRT-Regeln sind die folgenden Features von geplanten Analyseregeln im Assistenten jedoch nicht verfügbar:

    • Die Abfrageplanung kann nicht konfiguriert werden, da Abfragen automatisch einmal pro Minute mit einem Rückblickzeitraum von einer Minute ausgeführt werden.
    • Der Warnungsschwellenwert ist irrelevant, da immer eine Warnung generiert wird.
    • Die Konfiguration der Ereignisgruppierung ist nicht verfügbar, da Ereignisse immer in die Warnung gruppiert werden, die von der Regel erstellt wird, die die Ereignisse erfasst. NRT-Regeln können nicht für jedes Ereignis eine Warnung erzeugen.

    Darüber hinaus gelten für die Abfrage selbst die folgenden Anforderungen:

    • Die Abfrage selbst kann nur auf eine Tabelle verweisen und darf keine Unions oder Joins enthalten.

    • Sie können die Abfrage nicht arbeitsbereichsübergreifend ausführen.

    • Aufgrund der Größenbeschränkungen der Warnungen sollte Ihre Abfrage project-Anweisungen verwenden, um nur die erforderlichen Felder aus der Tabelle einzubeziehen. Andernfalls werden die Informationen, die Sie präsentieren möchten, möglicherweise abgeschnitten.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Analyseregeln nahezu in Echtzeit (NRT) in Microsoft Sentinel erstellen.