Detección rápida de amenazas con reglas de análisis casi en tiempo real (NRT) en Microsoft Sentinel

  • Artículo

¿Qué son las reglas de análisis casi en tiempo real (NRT)?

Cuando se enfrenta a amenazas de seguridad, el tiempo y la velocidad son fundamentales. Debe tener en cuenta las amenazas a medida que se materializan para que pueda analizarlas y reaccionar rápidamente a fin de contenerlas. Las reglas de análisis casi en tiempo real (NRT) de Microsoft Sentinel ofrecen una detección de amenazas rápida (más similar a la de un SIEM local), y la capacidad de acortar los tiempos de respuesta en escenarios específicos.

Las reglas de análisis casi en tiempo real de Microsoft Sentinel ofrecen una detección de amenazas al minuto integrada. Este tipo de regla se diseñó para tener una gran capacidad de respuesta mediante la ejecución de su consulta a intervalos de un minuto de diferencia.

¿Cómo funcionan?

Las reglas NRT se codifican de forma rígida para que se ejecuten una vez cada minuto y capturen los eventos ingeridos en el minuto anterior, de modo que puedan proporcionarle información lo más al minuto posible.

A diferencia de las reglas programadas normales que se ejecutan con un retraso integrado de cinco minutos para tener en cuenta el retraso del tiempo de ingesta, las reglas NRT se ejecutan con un retraso de solo dos minutos, y resuelven el problema del retraso de ingesta consultando el tiempo de ingesta de los eventos en lugar de su tiempo de generación en el origen (el campo TimeGenerated). Como resultado, se producen mejoras de frecuencia y precisión en las detecciones. (Para comprender este problema de una forma más completa, consulte Programación de consultas y umbral de alertas y Control del retraso de ingesta en las reglas de análisis programadas.)

Las reglas NRT tienen muchas de las características y funcionalidades de las reglas de análisis programadas. El conjunto completo de funcionalidades de enriquecimiento de alertas está disponible: puede asignar entidades y exponer detalles personalizados, además de configurar contenido dinámico para los detalles de las alertas. Puede elegir cómo se agrupan las alertas en incidentes, puede suprimir temporalmente la ejecución de una consulta después de generar un resultado y puede definir reglas de automatización y cuadernos de estrategias para que se ejecuten en respuesta a las alertas e incidentes generados a partir de la regla.

Por el momento, estas plantillas tienen una aplicación limitada como se describe a continuación, pero la tecnología está evolucionando y creciendo rápidamente.

Consideraciones

Actualmente, las siguientes limitaciones rigen el uso de reglas NRT:

  1. En este momento, no se pueden definir más de 50 reglas por cliente.

  2. Por diseño, las reglas de NRT solo funcionarán correctamente en los orígenes de registro con un retraso de la ingesta inferior a 12 horas.

    (Dado que se supone que el tipo de regla de NRT se aproxima a la ingesta de datos en tiempo real, el uso de reglas de NRT en los orígenes de registro con un retraso de ingesta significativo no le ofrece ninguna ventaja, incluso si es mucho inferior a 12 horas).

  3. La sintaxis de este tipo de regla está evolucionando gradualmente. En este momento, las siguientes limitaciones permanecen en vigor:

    1. Dado que este tipo de regla es casi en tiempo real, hemos reducido el retraso integrado al mínimo (dos minutos).

    2. Dado que las reglas NRT usan el tiempo de ingesta en lugar del tiempo de generación de eventos (representado por el campo TimeGenerated), puede omitir de forma segura el retraso del origen de datos y la latencia del tiempo de ingesta (consulte la información anterior).

    3. Las consultas solo se pueden ejecutar dentro de un área de trabajo única. No hay ninguna funcionalidad de ejecución en varias áreas de trabajo.

    4. La agrupación de eventos ahora se puede configurar hasta cierto grado. Las reglas de NRT pueden generar hasta 30 alertas de evento único. Una regla con una consulta que da como resultado más de 30 eventos generará alertas para los primeros 29 eventos y después emitirá la alerta número 30 que resume todos los eventos aplicables.

    5. Las consultas definidas en una regla NRT ahora pueden hacer referencia a más de una tabla.

Pasos siguientes

En este documento, ha aprendido cómo funcionan las reglas de análisis casi en tiempo real (NRT) en Microsoft Sentinel.