Rilevare rapidamente le minacce con regole di analisi quasi in tempo reale (Near-Real-Time, NRT) in Microsoft Sentinel

  • Articolo
  • 3 minuti per la lettura

Importante

  • Le regole NRT (Near Real-Time) sono attualmente in ANTEPRIMA. Per altre condizioni legali che si applicano alle funzionalità di Azure in versione beta, anteprima o altrimenti non ancora rilasciate in disponibilità generale, vedere Le condizioni aggiuntive per l'uso per Microsoft Azure .

Quali sono le regole di analisi quasi in tempo reale (NRT) ?

Quando si verificano minacce alla sicurezza, il tempo e la velocità sono dell'essenza. È necessario essere consapevoli delle minacce in quanto materializzano in modo da poter analizzare e rispondere rapidamente per contenere tali minacce. Le regole di analisi NRT (Near Real-Time) di Microsoft Sentinel offrono un rilevamento delle minacce più rapido, più vicino a quello di un SIEM locale e la possibilità di ridurre i tempi di risposta in scenari specifici.

Le regole di analisi quasi in tempo reale di Microsoft Sentinel forniscono il rilevamento delle minacce fino al minuto fuori uso. Questo tipo di regola è stato progettato per essere altamente reattivo eseguendo la query a intervalli di un solo minuto a parte.

Come lavorano?

Le regole NRT sono hardcoded da eseguire una volta ogni minuto e acquisire eventi inseriti nel minuto precedente, in modo da poter fornire informazioni il più possibile al minuto.

A differenza delle regole pianificate regolari eseguite su un ritardo predefinito di cinque minuti per tenere conto del ritardo del tempo di inserimento, le regole NRT vengono eseguite solo in un ritardo di due minuti, risolvendo il problema di ritardo di inserimento eseguendo query sul tempo di inserimento degli eventi anziché sul tempo di generazione all'origine (il campo TimeGenerated). Ciò comporta miglioramenti sia della frequenza che dell'accuratezza nei rilevamenti. Per comprendere più completamente questo problema, vedere Pianificazione query e soglia di avviso eGestione dei ritardi di inserimento nelle regole di analisi pianificate.

Le regole NRT hanno molte delle stesse funzionalità e funzionalità delle regole di analisi pianificate. Il set completo di funzionalità di arricchimento degli avvisi è disponibile: è possibile mappare le entità e i dettagli personalizzati della superficie e configurare il contenuto dinamico per i dettagli dell'avviso. È possibile scegliere come raggruppare gli avvisi in eventi imprevisti, è possibile eliminare temporaneamente l'esecuzione di una query dopo aver generato un risultato e definire regole di automazione e playbook da eseguire in risposta agli avvisi e agli eventi imprevisti generati dalla regola.

Per il momento, questi modelli hanno un'applicazione limitata come descritto di seguito, ma la tecnologia è in rapida evoluzione e crescita.

Considerazioni

Le limitazioni seguenti attualmente regolano l'uso delle regole NRT:

  1. Al momento non è possibile definire più di 20 regole per ogni cliente.

  2. Per progettazione, le regole NRT funzioneranno correttamente solo sulle origini di log con un ritardo di inserimento inferiore a 12 ore.

    Poiché il tipo di regola NRT dovrebbe essere approssimativo per l'inserimento di dati in tempo reale , non offre alcun vantaggio per l'uso delle regole NRT nelle origini di log con ritardo di inserimento significativo, anche se è molto inferiore a 12 ore.

  3. Poiché questo tipo di regola è nuovo, la sua sintassi è attualmente limitata, ma si evolverà gradualmente. Pertanto, al momento sono attive le restrizioni seguenti:

    1. La query definita in una regola NRT può fare riferimento a una sola tabella. Le query possono tuttavia fare riferimento a più watchlist.

    2. Non è possibile usare unioni o join.

    3. Poiché questo tipo di regola è quasi in tempo reale, il ritardo predefinito è stato ridotto al minimo, ovvero due minuti.

    4. Poiché le regole NRT usano il tempo di inserimento anziché il tempo di generazione dell'evento (rappresentato dal campo TimeGenerated), è possibile ignorare senza problemi il ritardo dell'origine dati e la latenza del tempo di inserimento (vedere sopra).

    5. Le query possono essere eseguite solo all'interno di una singola area di lavoro. Non è disponibile alcuna funzionalità tra aree di lavoro.

    6. Il raggruppamento di eventi è ora configurabile in un grado limitato. Le regole NRT possono produrre fino a 30 avvisi a evento singolo. Una regola con una query che genera più di 30 eventi genererà avvisi per il primo 29, quindi un avviso di 30° che riepiloga tutti gli eventi applicabili.

Passaggi successivi

In questo documento si è appreso come funzionano le regole di analisi quasi in tempo reale (NRT) in Microsoft Sentinel.