Mendeteksi ancaman dengan cepat dengan aturan analitik mendekati real-time (NRT) di Microsoft Azure Sentinel

  • Artikel

Apa saja aturan analitik mendekati real-time (NRT)?

Ketika Anda dihadapkan dengan ancaman keamanan, waktu dan kecepatan adalah esensi. Anda perlu menyadari ancaman saat mereka terwujud sehingga Anda dapat menganalisis dan merespons dengan cepat untuk menahannya. Aturan analitik mendekati real-time (NRT) Microsoft Sentinel menawarkan deteksi ancaman yang lebih cepat—lebih dekat dengan SIEM lokal—dan kemampuan untuk mempersingkat waktu respons dalam skenario tertentu.

Aturan analitik mendekati real-time Microsoft Azure Sentinel menyediakan deteksi ancaman terkini dengan cara yang kreatif. Jenis aturan ini dirancang agar sangat responsif dengan menjalankan kuerinya pada interval hanya satu menit.

Bagaimana cara kerjanya?

Aturan NRT dikodekan secara keras untuk dijalankan sekali setiap menit dan menangkap peristiwa yang diserap pada menit sebelumnya, sehingga dapat memberi Anda informasi yang setinggi mungkin.

Tidak seperti aturan terjadwal reguler yang berjalan pada penundaan lima menit bawaan untuk memperhitungkan jeda waktu penyerapan, aturan NRT berjalan hanya pada penundaan dua menit, memecahkan masalah penundaan penyerapan dengan menanyakan waktu penyerapan peristiwa, bukan waktu pembuatannya di sumbernya (bidang TimeGenerated). Hal ini menghasilkan peningkatan frekuensi dan akurasi dalam deteksi Anda. (Untuk memahami masalah ini lebih lengkap, lihat Penjadwalan kueri dan ambang peringatan serta Menangani penundaan penyerapan di aturan analitik terjadwal.)

Aturan NRT memiliki banyak fitur dan kemampuan yang sama dengan aturan analitik terjadwal. Set lengkap kemampuan pengayaan pemberitahuan tersedia—Anda dapat memetakan entitas dan menampilkan detail kustom, dan Anda dapat mengonfigurasi konten dinamis untuk detail pemberitahuan. Anda dapat memilih bagaimana pemberitahuan dikelompokkan ke dalam insiden, Anda dapat menghentikan sementara menjalankan kueri setelah menghasilkan hasil, dan Anda dapat menentukan aturan otomatisasi dan playbook untuk dijalankan sebagai respons terhadap pemberitahuan dan insiden yang dihasilkan dari aturan tersebut.

Untuk saat ini, templat ini memiliki aplikasi terbatas seperti yang diuraikan di bawah ini, tetapi teknologinya berkembang pesat dan berkembang.

Pertimbangan

Batasan berikut saat ini mengatur penggunaan aturan NRT:

  1. Tidak lebih dari 50 aturan dapat ditentukan per pelanggan saat ini.

  2. Pada dasarnya, aturan NRT hanya akan berfungsi dengan baik pada sumber log dengan penundaan penyerapan kurang dari 12 jam.

    (Karena jenis aturan NRT seharusnya memperkirakan penyerapan data real-time, ia tidak memberi Anda keuntungan untuk menggunakan aturan NRT pada sumber log dengan penundaan penyerapan yang signifikan, meskipun kurang dari 12 jam.)

  3. Sintaks untuk jenis aturan ini secara bertahap berkembang. Saat ini batasan berikut tetap berlaku:

    1. Karena jenis aturan ini mendekati real-time, kami telah mengurangi penundaan bawaan menjadi minimum (dua menit).

    2. Karena aturan NRT menggunakan waktu penyerapan daripada waktu pembuatan peristiwa (diwakili oleh bidang TimeGenerated), Anda dapat dengan aman mengabaikan penundaan sumber data dan latensi waktu penyerapan (lihat di atas).

    3. Kueri hanya dapat dijalankan dalam satu ruang kerja. Tidak ada kemampuan lintas ruang kerja.

    4. Pengelompokan peristiwa sekarang dapat dikonfigurasi ke tingkat terbatas. Aturan NRT dapat menghasilkan hingga 30 pemberitahuan peristiwa tunggal. Aturan dengan kueri yang menghasilkan lebih dari 30 peristiwa akan menghasilkan pemberitahuan untuk 29 pertama, lalu pemberitahuan ke-30 yang meringkas semua peristiwa yang berlaku.

    5. Kueri yang ditentukan dalam aturan NRT sekarang dapat mereferensikan lebih dari satu tabel.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara kerja aturan analitik mendekati real-time (NRT) di Microsoft Azure Sentinel.