Condividi tramite

Rilevamento rapido delle minacce con regole di analisi near-real-time (NRT) in Microsoft Sentinel

  • Articolo

Quando si affrontano minacce alla sicurezza, il tempo e la velocità sono essenziali. È necessario essere consapevoli delle minacce man mano che si materializzano, in modo da poter analizzare e rispondere rapidamente per contenere tali minacce. Le regole di analisi near-real-time (NRT) di Microsoft Sentinel offrono un rilevamento più rapido delle minacce, più vicino a quello di un SIEM locale, e la possibilità di ridurre i tempi di risposta in scenari specifici.

Le regole di analisi near-real-time di Microsoft Sentinel offrono funzionalità predefinite per il rilevamento delle minacce al minuto. Questo tipo di regola è stato progettato per essere altamente reattivo eseguendo la query a intervalli di un minuto.

Funzionamento delle regole NRT

Le regole NRT sono hardcoded per l'esecuzione una volta ogni minuto e l'acquisizione di eventi inseriti nel minuto precedente, per fornire informazioni il più possibile aggiornate al minuto.

A differenza delle normali regole pianificate, che vengono eseguite con un ritardo di cinque minuti per tenere conto del ritardo di inserimento, le regole NRT vengono eseguite con un ritardo di soli due minuti e risolvono il problema del ritardo di inserimento eseguendo una query sull'ora di inserimento degli eventi invece che sull'ora di generazione all’origine (il campo TimeGenerated). Ciò comporta miglioramenti sia della frequenza che dell'accuratezza nei rilevamenti. (Per comprendere più completamente questo problema, vedere Pianificazione delle query e soglia di avviso e Gestire il ritardo di inserimento nelle regole di analisi pianificata.)

Le regole NRT hanno molte delle stesse caratteristiche e funzionalità delle regole di analisi pianificata. Il set completo di funzionalità di arricchimento degli avvisi è disponibile per eseguire il mapping delle entità e visualizzare dettagli personalizzati ed è possibile configurare il contenuto dinamico per i dettagli degli avvisi. È possibile scegliere come raggruppare gli avvisi in eventi imprevisti, impedire temporaneamente l'esecuzione di una query dopo che ha generato un risultato e definire regole di automazione e playbook da eseguire in risposta agli avvisi e agli eventi imprevisti generati dalla regola.

Per il momento, questi modelli hanno un'applicazione limitata come descritto di seguito, ma la tecnologia è in rapida evoluzione e in crescita.

Considerazioni

Le limitazioni seguenti attualmente regolano l'uso delle regole NRT:

  • Al momento non è possibile definire più di 50 regole per ogni cliente.

  • Per impostazione predefinita, le regole NRT funzioneranno correttamente solo sulle origini di log con un ritardo di inserimento inferiore a 12 ore.

    (Poiché il tipo di regola NRT dovrebbe approssimare l’inserimento di dati in tempo reale, non consente di usare regole NRT sulle origini di log con un ritardo di inserimento significativo, anche se è molto inferiore a 12 ore.)

  • La sintassi per questo tipo di regola è gradualmente in evoluzione. A questo punto rimangono effettive le limitazioni seguenti:

    • Poiché questo tipo di regola è quasi in tempo reale, il ritardo predefinito è stato ridotto al minimo, ovvero due minuti.

    • Poiché le regole NRT usano il tempo di inserimento anziché il tempo di generazione dell'evento (rappresentato dal campo TimeGenerated), è possibile ignorare senza problemi il ritardo dell'origine dati e la latenza del tempo di inserimento (vedere sopra).

    • Le query possono essere eseguite solo all'interno di una singola area di lavoro. Non è disponibile alcuna funzionalità tra aree di lavoro.

    • Il raggruppamento di eventi è ora configurabile in modo limitato. Le regole NRT possono generare fino a 30 avvisi a evento singolo. Una regola con una query che produce più di 30 eventi produrrà avvisi per i primi 29, quindi un 30° avviso che riassume tutti gli eventi applicabili.

    • Le query definite in una regola NRT possono ora fare riferimento a più tabelle.

Passaggi successivi

In questo documento si è appreso come funzionano le regole di analisi near-real-time (NRT) in Microsoft Sentinel.