Bagikan melalui


Bekerja dengan aturan analisis deteksi hampir real-time (NRT) di Microsoft Sentinel

Aturan analitik mendekati real-time Microsoft Azure Sentinel menyediakan deteksi ancaman terkini dengan cara yang kreatif. Jenis aturan ini dirancang agar sangat responsif dengan menjalankan kuerinya pada interval hanya satu menit.

Untuk saat ini, templat ini memiliki aplikasi terbatas seperti yang diuraikan di bawah ini, tetapi teknologinya berkembang pesat dan berkembang.

Penting

Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Lihat aturan near-real-time (NRT)

  1. Dari bagian Konfigurasi menu navigasi Microsoft Azure Sentinel, pilih Analitik.

  2. Pada layar Analitik, dengan tab Aturan aktif dipilih, filter daftar untuk templat NRT:

    1. Pilih Tambahkan filter dan pilih Jenis aturan dari daftar filter.

    2. Dari daftar yang dihasilkan, pilih NRT. Lalu, pilih Terapkan.

Buat aturan NRT

Anda membuat aturan NRT dengan cara yang sama seperti Anda membuat aturan analisis kueri terjadwal biasa:

  1. Dari bagian Konfigurasi menu navigasi Microsoft Azure Sentinel, pilih Analitik.

  2. Di bilah tindakan di bagian atas, pilih +Buat dan pilih aturan kueri NRT. Ini membuka wizard aturan Analitik.

    Cuplikan layar memperlihatkan cara membuat aturan NRT baru.

  1. Ikuti petunjuk wizard aturan analitik.

    Konfigurasi aturan NRT dalam banyak hal sama dengan aturan analitik terjadwal.

    • Anda dapat merujuk ke beberapa tabel dan daftar pengawasan dalam logika kueri Anda.

    • Anda dapat menggunakan semua metode pengayaan pemberitahuan: pemetaan entitas, detail kustom, dan detail pemberitahuan.

    • Anda dapat memilih cara mengelompokkan pemberitahuan ke dalam insiden, dan untuk menekan kueri saat hasil tertentu telah dibuat.

    • Anda dapat mengotomatiskan respons terhadap pemberitahuan dan insiden.

    Namun, karena sifat dan batasan aturan NRT, fitur aturan analisis terjadwal berikut tidak akan tersedia di wizard:

    • Penjadwalan kueri tidak dapat dikonfigurasi, karena kueri secara otomatis dijadwalkan untuk dijalankan sekali per menit dengan periode lookback satu menit.
    • Ambang pemberitahuan tidak relevan, karena pemberitahuan selalu dibuat.
    • Konfigurasi pengelompokan peristiwa sekarang tersedia untuk tingkat terbatas. Anda dapat memilih untuk membuat aturan NRT menghasilkan pemberitahuan untuk setiap peristiwa hingga 30 peristiwa. Jika Anda memilih opsi ini dan aturan menghasilkan lebih dari 30 peristiwa, pemberitahuan peristiwa tunggal akan dibuat untuk 29 peristiwa pertama, dan pemberitahuan ke-30 akan meringkas semua peristiwa dalam tataan hasil.

    Selain itu, kueri itu sendiri memiliki persyaratan berikut:

    • Anda tidak dapat menjalankan kueri di seluruh ruang kerja.

    • Karena batas ukuran pemberitahuan, kueri Anda harus menggunakan pernyataan project untuk memasukkan bidang yang diperlukan saja dari tabel Anda. Jika tidak, informasi yang ingin Anda tampilkan dapat terpotong.

Langkah berikutnya

Dalam dokumen ini, Anda belajar cara membuat aturan analitik hampir real-time (NRT) di Microsoft Sentinel.