Közel valós idejű (NRT) észlelési elemzési szabályok használata a Microsoft Sentinelben

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Sentinel közel valós idejű elemzési szabályai a veszélyforrások percről percre történő észlelését teszik lehetővé. Ezt a szabálytípust úgy tervezték, hogy rendkívül rugalmas legyen, ha a lekérdezést csak egy perces időközönként futtatja.

Egyelőre ezek a sablonok korlátozott alkalmazással rendelkeznek az alábbiak szerint, de a technológia gyorsan fejlődik és növekszik.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Közel valós idejű (NRT) szabályok megtekintése

  1. A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.

  2. Az Elemzés képernyőn az Aktív szabályok lap kiválasztásával szűrje az NRT-sablonok listáját:

    1. Válassza a Szűrő hozzáadása lehetőséget, és válassza a szabálytípust a szűrők listájából.

    2. Az eredményként kapott listában válassza az NRT elemet. Ezután válassza az Alkalmaz lehetőséget.

NRT-szabályok létrehozása

Az NRT-szabályokat ugyanúgy hozza létre, mint a normál ütemezett lekérdezéselemzési szabályokat:

  1. A Microsoft Sentinel navigációs menüjének Konfiguráció szakaszában válassza az Elemzés lehetőséget.

  2. A felső műveletsávon válassza a +Létrehozás és az NRT lekérdezési szabály kiválasztása lehetőséget. Ekkor megnyílik az Elemzési szabály varázsló.

    Képernyőkép egy új NRT-szabály létrehozásáról.

  1. Kövesse az elemzési szabály varázsló utasításait.

    Az NRT-szabályok konfigurálása a legtöbb módon megegyezik az ütemezett elemzési szabályokkal.

    • A lekérdezési logikában több táblára és figyelőlistára is hivatkozhat.

    • Az összes riasztás-bővítési módszert használhatja: entitásleképezést, egyéni adatokat és riasztási adatokat.

    • Kiválaszthatja, hogyan csoportosíthatja a riasztásokat incidensekbe, és hogyan tilthatja le a lekérdezést egy adott eredmény létrehozásakor.

    • A riasztásokra és incidensekre adott válaszokat automatizálhatja.

    Az NRT-szabályok természete és korlátozásai miatt azonban az ütemezett elemzési szabályok alábbi funkciói nem lesznek elérhetők a varázslóban:

    • A lekérdezésütemezés nem konfigurálható, mivel a lekérdezések automatikusan percenként egyszer futnak egyperces visszatekintési időszakkal.
    • A riasztás küszöbértéke irreleváns, mivel a rendszer mindig létrehoz egy riasztást.
    • Az eseménycsoportozás konfigurációja mostantól korlátozott mértékben elérhető. Dönthet úgy, hogy egy NRT-szabály riasztást hoz létre minden eseményhez legfeljebb 30 eseményhez. Ha ezt a lehetőséget választja, és a szabály több mint 30 eseményt eredményez, az első 29 eseményhez egyeseményes riasztások jönnek létre, és a 30. riasztás összegzi az eredményhalmaz összes eseményét.

    Emellett maga a lekérdezés a következő követelményekkel rendelkezik:

    • A lekérdezés nem futtatható több munkaterületen.

    • A riasztások méretkorlátja miatt a lekérdezésnek olyan utasításokat kell használnia project , amelyek csak a tábla szükséges mezőit tartalmazzák. Ellenkező esetben a felszínre hozandó információk csonkoltak lehetnek.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan hozhat létre közel valós idejű (NRT) elemzési szabályokat a Microsoft Sentinelben.