Usare regole di analisi di rilevamento near real time (NRT) in Microsoft Sentinel

Le regole di analisi quasi in tempo reale di Microsoft Sentinel offrono funzionalità predefinite per il rilevamento delle minacce al minuto. Questo tipo di regola è stato progettato per essere altamente reattivo eseguendo la query a intervalli di un minuto.

Per il momento, questi modelli hanno un'applicazione limitata come descritto di seguito, ma la tecnologia è in rapida evoluzione e in crescita.

Visualizzare le regole NRT (Near Real Time)

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Analisi.

  2. Nella scheda Regole attive del pannello Analisi filtrare l'elenco per i modelli NRT:

    1. Fare clic sul filtro Tipo di regola, quindi sull'elenco a discesa visualizzato di seguito.

    2. Deselezionare Selezionare tutto, quindi contrassegnare NRT.

    3. Se necessario, fare clic sulla parte superiore dell'elenco a discesa per ritirarla, quindi fare clic su OK.

Creare regole NRT

Le regole NRT vengono create allo stesso modo in cui si creano regole regolari di analisi delle query pianificate:

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Analisi.

  2. Selezionare Crea dalla barra dei pulsanti, quindi regola di query NRT dall'elenco a discesa.

    Screenshot shows how to create a new NRT rule.

  3. Seguire le istruzioni della procedura guidata per le regole di analisi.

    La configurazione delle regole NRT è la stessa delle regole di analisi pianificate.

    • È possibile fare riferimento a più tabelle e watchlist nella logica di query.

    • È possibile usare tutti i metodi di arricchimento degli avvisi: mapping di entità, dettagli personalizzati e dettagli degli avvisi.

    • È possibile scegliere come raggruppare gli avvisi in eventi imprevisti e eliminare una query quando è stato generato un determinato risultato.

    • È possibile automatizzare le risposte sia agli avvisi che agli eventi imprevisti.

    A causa della natura e delle limitazioni delle regole NRT, tuttavia, le funzionalità seguenti delle regole di analisi pianificate non saranno disponibili nella procedura guidata:

    • La pianificazione delle query non è configurabile, poiché le query vengono pianificate automaticamente per l'esecuzione una volta al minuto con un periodo di lookback di un minuto.
    • La soglia di avviso è irrilevante, perché viene sempre generato un avviso.
    • La configurazione del raggruppamento di eventi è ora disponibile per un livello limitato. È possibile scegliere di avere una regola NRT per generare un avviso per ogni evento per un massimo di 30 eventi. Se si sceglie questa opzione e la regola genera più di 30 eventi, verranno generati avvisi a evento singolo per i primi 29 eventi e un 30° avviso riepilogerà tutti gli eventi nel set di risultati.

    Inoltre, la query stessa presenta i requisiti seguenti:

    • Non è possibile eseguire la query tra aree di lavoro.

    • A causa dei limiti di dimensioni degli avvisi, la query deve usare project istruzioni per includere solo i campi necessari della tabella. In caso contrario, le informazioni da visualizzare potrebbero troncare.

Passaggi successivi

In questo documento si è appreso come creare regole di analisi quasi in tempo reale (NRT) in Microsoft Sentinel.