Usare regole di analisi di rilevamento near real time (NRT) in Microsoft Sentinel

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Le regole di analisi quasi in tempo reale di Microsoft Sentinel offrono funzionalità predefinite per il rilevamento delle minacce al minuto. Questo tipo di regola è stato progettato per essere altamente reattivo eseguendo la query a intervalli di un minuto.

Per il momento, questi modelli hanno un'applicazione limitata come descritto di seguito, ma la tecnologia è in rapida evoluzione e in crescita.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Visualizzare le regole NRT (Near Real Time)

  1. Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analisi.

  2. Nella schermata Analisi, con la scheda Regole attive selezionata, filtrare l'elenco per i modelli NRT:

    1. Selezionare Aggiungi filtro e scegliere Tipo di regola dall'elenco dei filtri.

    2. Nell'elenco risultante selezionare NRT. Quindi seleziona Applica.

Creare regole NRT

Le regole NRT vengono create allo stesso modo in cui si creano regole regolari di analisi delle query pianificate:

  1. Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analisi.

  2. Nella barra delle azioni in alto selezionare +Crea e selezionare Regola di query NRT. Verrà aperta la procedura guidata per la regola di Analisi.

    Screenshot che mostra come creare una nuova regola NRT.

  1. Seguire le istruzioni della procedura guidata per le regole di analisi.

    La configurazione delle regole NRT è la stessa delle regole di analisi pianificate.

    • È possibile fare riferimento a più tabelle e watchlist nella logica di query.

    • È possibile usare tutti i metodi di arricchimento degli avvisi: mapping di entità, dettagli personalizzati e dettagli degli avvisi.

    • È possibile scegliere come raggruppare gli avvisi in eventi imprevisti e eliminare una query quando è stato generato un determinato risultato.

    • È possibile automatizzare le risposte sia agli avvisi che agli eventi imprevisti.

    A causa della natura e delle limitazioni delle regole NRT, tuttavia, le funzionalità seguenti delle regole di analisi pianificate non saranno disponibili nella procedura guidata:

    • La pianificazione delle query non è configurabile, poiché le query vengono pianificate automaticamente per l'esecuzione una volta al minuto con un periodo di lookback di un minuto.
    • La soglia di avviso è irrilevante, perché viene sempre generato un avviso.
    • La configurazione del raggruppamento di eventi è ora disponibile per un livello limitato. È possibile scegliere di avere una regola NRT per generare un avviso per ogni evento per un massimo di 30 eventi. Se si sceglie questa opzione e la regola genera più di 30 eventi, verranno generati avvisi a evento singolo per i primi 29 eventi e un 30° avviso riepilogerà tutti gli eventi nel set di risultati.

    Inoltre, la query stessa presenta i requisiti seguenti:

    • Non è possibile eseguire la query tra aree di lavoro.

    • A causa dei limiti di dimensioni degli avvisi, la query deve usare project istruzioni per includere solo i campi necessari della tabella. In caso contrario, le informazioni da visualizzare potrebbero troncare.

Passaggi successivi

In questo documento si è appreso come creare regole di analisi quasi in tempo reale (NRT) in Microsoft Sentinel.