Détection rapide des menaces avec règles analytiques en quasi-temps réel (NRT) dans Microsoft Sentinel
Quand vous êtes confronté à des menaces de sécurité, le temps et la vitesse sont vitaux. Vous devez être conscient des menaces au fur et à mesure de leur matérialisation afin de pouvoir les analyser et y répondre rapidement pour les contenir. Les règles d’analyse en quasi-temps réel de Microsoft Sentinel offrent une détection plus rapide des menaces, plus proche de celle d’une solution SIEM locale, et la possibilité de raccourcir les temps de réponse dans des scénarios spécifiques.
Les règles d’analyse en quasi-temps réel de Microsoft Sentinel offrent une détection des menaces prête à l’emploi à la minute près. Ce type de règle a été conçu pour être très réactif en exécutant sa requête à des intervalles d’une minute seulement.
Fonctionnement des règles en quasi-temps réel
Les règles en quasi-temps réel sont codées en dur pour s’exécuter une fois toutes les minutes et capturent les événements ingérés au cours de la minute précédente afin de vous fournir des informations à la minute près, dans la mesure du possible.
Contrairement aux règles planifiées standard qui s’exécutent sur un délai de cinq minutes intégré pour tenir compte du délai d’ingestion, les règles NRT s’exécutent sur un délai de deux minutes seulement, ce qui permet de résoudre le problème de délai d’ingestion en interrogeant l’heure d’ingestion des événements au lieu de l’heure de leur génération à la source (champ TimeGenerated). La fréquence et la précision de vos détections s’en trouvent améliorées. (Pour mieux comprendre ce problème, consultez Planification des requêtes et seuil d’alerte et Gestion du délai d’ingestion dans les règles d’analytique planifiée.)
Les règles NRT ont de nombreuses fonctionnalités telles que les règles d’analytique planifiées. Le jeu complet de fonctionnalités d’enrichissement des alertes est disponible : vous pouvez mapper des entités, exposer des détails personnalisés et configurer le contenu dynamique des détails des alertes. Vous pouvez choisir la façon dont les alertes sont regroupées en incidents, supprimer temporairement l’exécution d’une requête une fois qu’elle a généré un résultat et définir des playbooks et des règles d’automatisation à exécuter en réponse aux alertes et incidents générés à partir de la règle.
Ces modèles ont une application limitée comme indiqué ci-dessous, mais la technologie évolue rapidement.
Considérations
Les limitations suivantes régissent l’utilisation des règles NRT :
Vous ne pouvez pas définir plus de 50 règles par client pour l’instant.
Les règles NRT sont conçues pour ne fonctionner correctement que sur les sources de journaux dont le délai d’ingestion est inférieur à 12 heures.
(Étant donné que le type de règle NRT est censé se rapprocher de l’ingestion de données en temps réel, vous ne pouvez pas utiliser des règles NRT sur des sources de journaux présentant un délai d’ingestion significatif, même si celui-ci est bien inférieur à 12 heures).
La syntaxe de ce type de règle évolue progressivement. Les limitations suivantes restent en vigueur actuellement :
Ce type de règle étant quasiment en temps réel, nous avons réduit le délai intégré à un minimum (deux minutes).
Étant donné que les règles NRT utilisent l’heure d’ingestion plutôt que l’heure de génération de l’événement (représentée par le champ TimeGenerated), vous pouvez ignorer de manière sécurisée le délai à la source de données et la latence de la durée d’ingestion (voir ci-dessus).
Les requêtes ne peuvent s’exécuter que dans un seul espace de travail. Il n’existe aucune fonctionnalité inter-espaces de travail.
Le regroupement d’événements est désormais configurable à un degré limité. Les règles NRT peuvent produire jusqu’à 30 alertes avec un seul événement. Une règle avec une requête qui génère plus de 30 événements va produire des alertes pour les 29 premiers, puis une 30e alerte qui récapitule tous les événements applicables.
Les requêtes définies dans une règle NRT peuvent désormais référencer plusieurs tables.
Étapes suivantes
Dans ce document, vous avez appris le fonctionnement des règles d’analyse en quasi-temps réel dans Microsoft Sentinel.
- Découvrez comment créer des règles NRT.
- En savoir plus sur les autres types de règles d’analyse.