Schnelle Erkennung von Bedrohungen mit NRT-Analyseregeln (Near-Real-Time) in Microsoft Sentinel

Was sind Analyseregeln nahezu in Echtzeit (Near-Real-Time, NRT)?

Wenn Sie mit Sicherheitsbedrohungen konfrontiert sind, sind Zeit und Geschwindigkeit von entscheidender Bedeutung. Sie müssen sich der Bedrohungen bewusst sein, sobald sie auftreten, sodass Sie sie analysieren und schnell reagieren können, um sie abzuwehren. Die Near-Real-Time(NRT)-Analyseregeln von Microsoft Sentinel bieten Ihnen eine schnellere Erkennung von Bedrohungen – näher an der eines SIEM vor Ort – und die Möglichkeit, die Antwortzeiten in bestimmten Szenarien zu verkürzen.

Die Analyseregeln nahezu in Echtzeit von Microsoft Sentinel bieten eine standardmäßig verfügbare aktuelle Bedrohungserkennung. Diese Art von Regel wurde so konzipiert, dass sie extrem reaktionsschnell ist, indem sie ihre Abfrage in Abständen von nur einer Minute durchführt.

Wie funktionieren sie?

NRT-Regeln sind hartcodiert, sodass sie einmal pro Minute ausgeführt werden und die in der vorangegangenen Minute erfassten Ereignisse aufzeichnen, damit sie Ihnen möglichst aktuelle Informationen liefern können.

Im Gegensatz zu regulären geplanten Regeln, die mit einer integrierten fünfminütigen Verzögerung ausgeführt werden, um die Zeitverzögerung bei der Erfassung zu berücksichtigen, werden NRT-Regeln mit nur einer zweiminütigen Verzögerung ausgeführt und lösen das Problem der Erfassungsverzögerung, indem sie die Erfassungszeit von Ereignissen anstelle der Zeit ihrer Generierung an der Quelle (Feld „TimeGenerated“) abfragen. Dadurch verbessern sich sowohl die Häufigkeit als auch die Genauigkeit Ihrer Erkennungen. (Um dieses Problem besser zu verstehen, siehe Abfrageplanung und Warnschwellen und Verwaltung der Aufnahmeverzögerung in geplanten Analyseregeln).

NRT-Regeln verfügen über viele derselben Features und Funktionen wie geplante Analyseregeln. Es stehen alle Funktionen zur Warnungsanreicherung zur Verfügung – Sie können Entitäten zuordnen und benutzerdefinierte Details anzeigen sowie dynamische Inhalte für Warnungsdetails konfigurieren. Sie können auswählen, wie Warnungen in Vorfälle gruppiert werden. Sie können die Ausführung einer Abfrage vorübergehend unterdrücken, nachdem sie ein Ergebnis generiert hat, und Sie können Automatisierungsregeln sowie Playbooks definieren, die als Reaktion auf Warnungen und Vorfälle, die von der Regel generiert werden, ausgeführt werden.

Im Moment haben diese Vorlagen nur eine begrenzte Anwendung, wie unten beschrieben, aber die Technologie entwickelt sich schnell weiter und wächst.

Überlegungen

Die folgenden Einschränkungen gelten derzeit für die Verwendung der NRT-Regeln:

1. Derzeit können nicht mehr als 50 Regeln pro Kunde definiert werden.

2. Systembedingt funktionieren NRT-Regeln nur ordnungsgemäß bei Protokollquellen mit einer Erfassungsverzögerung von weniger als 12 Stunden.

   (Da der NRT-Regeltyp Daten annähernd in Echtzeit erfassen soll, bietet es Ihnen keinen Vorteil, NRT-Regeln für Protokollquellen mit erheblicher Erfassungsverzögerung zu verwenden, auch wenn sie weit weniger als 12 Stunden beträgt.)

3. Die Syntax für diesen Regeltyp wird schrittweise weiterentwickelt. Zu diesem Zeitpunkt bleiben die folgenden Einschränkungen in Kraft:

   1. Da dieser Regeltyp nahezu in Echtzeit arbeitet, haben wir die integrierte Verzögerung auf ein Minimum (zwei Minuten) reduziert.

   2. Da die NRT-Regeln die Erfassungszeit und nicht die Ereignisgenerierungszeit (dargestellt durch das Feld „TimeGenerated“) verwenden, können Sie die Verzögerung der Datenquelle und die Wartezeit bei der Erfassung (siehe oben) getrost ignorieren.

   3. Abfragen können nur innerhalb eines einzelnen Arbeitsbereichs ausgeführt werden. Es gibt keine arbeitsbereichsübergreifende Funktion.

   4. Die Ereignisgruppierung kann nun in begrenztem Umfang konfiguriert werden. NRT-Regeln können bis zu 30 Warnungen mit einzelnen Ereignissen erzeugen. Eine Regel mit einer Abfrage, die zu mehr als 30 Ereignissen führt, erzeugt Warnungen für die ersten 29 Ereignissen. In der 30. Warnung sind dann alle anwendbaren Ereignisse zusammengefasst.

   5. Abfragen, die in einer NRT-Regel definiert sind, können jetzt auf mehr als eine Tabelle verweisen.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie die Regeln für Near-Real-Time-Analysen (NRT) in Microsoft Sentinel funktionieren.

• Erfahren Sie, wie Sie NRT-Regeln erstellen.
• Erfahren Sie mehr über andere Arten von Analyseregeln.