A Microsoft Sentinel közel valós idejű (NRT) elemzési szabályaival gyorsan észlelheti a fenyegetéseket
Mik a közel valós idejű (NRT) elemzési szabályok?
Amikor biztonsági fenyegetésekkel szembesül, az idő és a sebesség a lényeg. Tisztában kell lennie a fenyegetések lényegével, hogy gyorsan elemezhesse és megválaszolhassa őket. A Microsoft Sentinel közel valós idejű (NRT) elemzési szabályai gyorsabb fenyegetésészlelést biztosítanak – közelebb a helyszíni SIEM-hez –, és lehetővé teszi a válaszidők lerövidítését bizonyos helyzetekben.
A Microsoft Sentinel közel valós idejű elemzési szabályai a veszélyforrások percről percre történő észlelését teszik lehetővé. Ezt a szabálytípust úgy tervezték, hogy rendkívül rugalmas legyen, ha a lekérdezést csak egy perces időközönként futtatja.
Hogyan működnek?
Az NRT-szabályok nehezen kódoltak, hogy percenként egyszer fussanak, és rögzítsék az előző percben betöltött eseményeket, hogy a lehető legpercesebb információkat biztosíthassák Önnek.
A beépített öt perces késéssel futó normál ütemezett szabályokkal ellentétben az NRT-szabályok mindössze két perces késéssel futnak, és a betöltési késleltetéssel kapcsolatos problémát úgy oldják meg, hogy az események betöltési idejét kérdezik le a forrásnál (a TimeGenerated mezőnél) való létrehozási idő helyett. Ez az észlelések gyakoriságának és pontosságának javulását eredményezi. (A probléma teljesebb megértéséhez lásd: Lekérdezések ütemezése és riasztási küszöbértéke , valamint az ütemezett elemzési szabályok betöltési késleltetésének kezelése.)
Az NRT-szabályok számos olyan funkciót és képességet tartalmaznak, mint az ütemezett elemzési szabályok. A riasztások kibővítési képességeinek teljes készlete elérhető – entitásokat képezhet le és egyéni adatokat jeleníthet meg, és dinamikus tartalmakat konfigurálhat a riasztás részleteihez. Kiválaszthatja, hogy a riasztások hogyan vannak incidensek szerint csoportosítva, ideiglenesen letilthatja a lekérdezések futtatását az eredmény létrehozása után, és meghatározhatja az automatizálási szabályokat és forgatókönyveket, amelyek a szabályból generált riasztásokra és incidensekre reagálva futnak.
Egyelőre ezek a sablonok korlátozott alkalmazással rendelkeznek az alábbiak szerint, de a technológia gyorsan fejlődik és növekszik.
Megfontolások
Az NRT-szabályok használatára jelenleg a következő korlátozások vonatkoznak:
Ügyfélenként jelenleg legfeljebb 50 szabály határozható meg.
Az NRT-szabályok tervezés szerint csak 12 óránál rövidebb betöltési késleltetéssel működnek megfelelően a naplóforrásokon.
(Mivel az NRT-szabálytípusnak a valós idejű adatbetöltést kell megközelítenie, nem biztosít semmilyen előnyt az NRT-szabályok jelentős betöltési késleltetéssel történő használata a naplóforrásokban, még akkor sem, ha az jóval kevesebb, mint 12 óra.)
Az ilyen típusú szabály szintaxisa fokozatosan fejlődik. Jelenleg a következő korlátozások maradnak érvényben:
Mivel ez a szabálytípus közel valós időben működik, a minimálisra (két percre) csökkentettük a beépített késleltetést.
Mivel az NRT-szabályok (a TimeGenerated mező által jelölt) eseménylétrehozási idő helyett a feldolgozási időt használják, nyugodtan figyelmen kívül hagyhatja az adatforrás késését és a feldolgozási idő késését (lásd fent).
A lekérdezések csak egyetlen munkaterületen belül futhatnak. Nincs lehetőség munkaterületek közötti munkára.
Az eseménycsoportozás mostantól korlátozott mértékben konfigurálható. Az NRT-szabályok legfeljebb 30 egyeseményes riasztást hozhatnak létre. A több mint 30 eseményt eredményező lekérdezéssel rendelkező szabály az első 29-es, majd a 30. riasztást fogja eredményezni, amely az összes vonatkozó eseményt összegzi.
Az NRT-szabályban definiált lekérdezések mostantól több táblára is hivatkozhatnak.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan működnek a közel valós idejű (NRT) elemzési szabályok a Microsoft Sentinelben.
- Megtudhatja, hogyan hozhat létre NRT-szabályokat.
- További információ az elemzési szabályok egyéb típusairól.