Usare regole di analisi di rilevamento near real time (NRT) in Microsoft Sentinel

  • Articolo

Le regole di analisi quasi in tempo reale di Microsoft Sentinel offrono funzionalità predefinite per il rilevamento delle minacce al minuto. Questo tipo di regola è stato progettato per essere altamente reattivo eseguendo la query a intervalli di un minuto.

Per il momento, questi modelli hanno un'applicazione limitata come descritto di seguito, ma la tecnologia è in rapida evoluzione e in crescita.

Visualizzare le regole NRT (Near Real Time)

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Analisi.

  2. Nella scheda Regole attive del pannello Analisi filtrare l'elenco per i modelli NRT:

    1. Fare clic sul filtro Tipo di regola, quindi sull'elenco a discesa visualizzato di seguito.

    2. Deselezionare Selezionare tutto, quindi contrassegnare NRT.

    3. Se necessario, fare clic sulla parte superiore dell'elenco a discesa per ritirarla, quindi fare clic su OK.

Creare regole NRT

Le regole NRT vengono create allo stesso modo in cui si creano regole regolari di analisi delle query pianificate:

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Analisi.

  2. Selezionare Crea dalla barra dei pulsanti, quindi regola di query NRT dall'elenco a discesa.

    Screenshot shows how to create a new NRT rule.

  3. Seguire le istruzioni della procedura guidata per le regole di analisi.

    La configurazione delle regole NRT è la stessa delle regole di analisi pianificate.

    • È possibile fare riferimento a più tabelle e watchlist nella logica di query.

    • È possibile usare tutti i metodi di arricchimento degli avvisi: mapping di entità, dettagli personalizzati e dettagli degli avvisi.

    • È possibile scegliere come raggruppare gli avvisi in eventi imprevisti e eliminare una query quando è stato generato un determinato risultato.

    • È possibile automatizzare le risposte sia agli avvisi che agli eventi imprevisti.

    A causa della natura e delle limitazioni delle regole NRT, tuttavia, le funzionalità seguenti delle regole di analisi pianificate non saranno disponibili nella procedura guidata:

    • La pianificazione delle query non è configurabile, poiché le query vengono pianificate automaticamente per l'esecuzione una volta al minuto con un periodo di lookback di un minuto.
    • La soglia di avviso è irrilevante, perché viene sempre generato un avviso.
    • La configurazione del raggruppamento di eventi è ora disponibile per un livello limitato. È possibile scegliere di avere una regola NRT per generare un avviso per ogni evento per un massimo di 30 eventi. Se si sceglie questa opzione e la regola genera più di 30 eventi, verranno generati avvisi a evento singolo per i primi 29 eventi e un 30° avviso riepilogerà tutti gli eventi nel set di risultati.

    Inoltre, la query stessa presenta i requisiti seguenti:

    • Non è possibile eseguire la query tra aree di lavoro.

    • A causa dei limiti di dimensioni degli avvisi, la query deve usare project istruzioni per includere solo i campi necessari della tabella. In caso contrario, le informazioni da visualizzare potrebbero troncare.

Passaggi successivi

In questo documento si è appreso come creare regole di analisi quasi in tempo reale (NRT) in Microsoft Sentinel.