Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo elenca e confronta le diverse funzionalità supportate dalle regole di analisi Microsoft Sentinel e Microsoft Defender rilevamenti personalizzati. Fornisce anche informazioni aggiuntive, ad esempio piani per supportare eventuali funzionalità delle regole di analisi non disponibili nei rilevamenti personalizzati, se applicabile.
Importante
I rilevamenti personalizzati sono ora il modo migliore per creare nuove regole in Microsoft Sentinel Microsoft Defender XDR SIEM. Con i rilevamenti personalizzati, è possibile ridurre i costi di inserimento, ottenere rilevamenti in tempo reale illimitati e trarre vantaggio dall'integrazione senza problemi con dati, funzioni e azioni di correzione Defender XDR con il mapping automatico delle entità. Per altre informazioni, leggere questo blog.
Confrontare le regole di analisi e le funzionalità di rilevamento personalizzato
| Caratteristica | Funzionalità | Regole di analisi | Rilevamenti personalizzati |
|---|---|---|---|
| Arricchimento degli avvisi | Mapping di entità flessibile su dati Sentinel | Supportato | Supportato |
| Collegare più tattiche MITRE | Supportato | Pianificato | |
| Supporto dell'elenco completo delle tecniche e delle sottotecniche MITRE | Supportato | Pianificato | |
| Arricchire gli avvisi con dettagli personalizzati | Supportato | Supportato | |
| Definire il titolo e la descrizione dell'avviso in modo dinamico - Integrare i risultati delle query in runtime | Supportato | Supportato | |
| Definire tutte le proprietà degli avvisi in modo dinamico - Integrare i risultati delle query in fase di esecuzione | Supportato | Pianificato | |
| Frequenza della regola | Supporto di una frequenza elevata e flessibile per i dati Sentinel | Supportato | Supportato |
| Regole NRT (Near Real Time) sui dati Sentinel | Supportato | Pianificato | |
| Tecnologia di streaming NRT - Testare gli eventi durante il flusso, non sensibili ai ritardi di inserimento | Non supportate. Le regole NRT di analisi testano gli eventi dopo l'inserimento. | Supportato | |
| Determinare la prima esecuzione della regola | Supportato | Non supportato | |
| Lookback delle regole | Supporto lookback | Lookback è flessibile:
|
Il lookback è determinato in modo statico dalla frequenza: è uguale a quattro volte la frequenza o a 30 giorni per una frequenza di 24 ore o meno. La parità con le regole di analisi è pianificata |
| Dati delle regole | Defender XDR dati | Non supportato | Supportato |
| livello di analisi Sentinel | Supportato | Supportato | |
| Azioni automatizzate | Azioni di correzione Defender XDR native | Non supportato | Supportato |
| Sentinel regole di automazione con trigger di evento imprevisto | Supportato | Pianificato | |
| Sentinel regole di automazione con trigger di avviso | Supportato | Pianificato | |
| Controllo e visibilità sull'integrità | Log di controllo delle regole disponibili nella ricerca avanzata | Supportato (nella SentinelAudit tabella) |
Esposto nella CloudAppEvents tabella per gli utenti Microsoft Defender for Cloud Apps.Questa funzionalità sarà disponibile per tutti gli utenti di rilevamenti personalizzati in futuro. |
| Log di integrità delle regole disponibili nella ricerca avanzata | Supportato (nella SentinelHealth tabella) |
Pianificato | |
| Controllo del raggruppamento di avvisi ed eventi | Personalizzare la logica di raggruppamento degli avvisi | Supportato | Non supportate. Nelle soluzioni SIEM e XDR, il motore di correlazione gestisce la logica di raggruppamento degli avvisi e può soddisfare la necessità di configurare la logica di raggruppamento. |
| Scegliere tra tutti gli eventi in un avviso e un avviso per ogni evento | Supportato | Non supportato | |
| Raggruppare gli eventi a un avviso quando i dettagli personalizzati, i dettagli dinamici degli avvisi e le entità sono identici | Non supportato | Supportato | |
| Controllare gli eventi imprevisti e la creazione di avvisi | Escludere gli eventi imprevisti dal motore di correlazione : assicurarsi che gli eventi imprevisti di regole diverse rimangano separati | Pianificato | Pianificato |
| Creare avvisi senza eventi imprevisti | Supportato | Non supportato | |
| Eliminazione degli avvisi : definire l'eliminazione degli avvisi dopo l'esecuzione della regola | Supportato | Non supportato | |
| Gestione delle regole | Eseguire nuovamente la regola su richiesta in un intervallo di tempo precedente | Supportato | Pianificato |
| Eseguire la regola su richiesta | Non supportato | Supportato | |
| Cartelle di lavoro di integrità e qualità | Supportato | Pianificato | |
| Integrazione con i repository Sentinel | Supportato | Pianificato | |
| Gestire le regole dall'API | Supportato | Supportato | |
| Supporto di Bicep | Supportato | Pianificato | |
| Hub del contenuto | Creare regole dall'hub del contenuto | Supportato | Pianificato |
| Area di lavoro multipla | Creare rilevamenti personalizzati in qualsiasi area di lavoro di cui è stato eseguito l'onboarding in Defender | Supportato | Pianificato |
| Rilevamento tra aree di lavoro tramite l'operatore dell'area di lavoro | Supportato | Pianificato | |
| Test e convalide | Simulazione delle regole dalla procedura guidata della regola | Supportato | Pianificato |