Werken met detectieanalyseregels in bijna realtime (NRT) in Microsoft Sentinel

Belangrijk

Aangepaste detecties is nu de beste manier om nieuwe regels te maken in Microsoft Sentinel SIEM-Microsoft Defender XDR. Met aangepaste detecties kunt u de opnamekosten verlagen, onbeperkte realtime detecties krijgen en profiteren van naadloze integratie met Defender XDR gegevens, functies en herstelacties met automatische entiteitstoewijzing. Lees dit blog voor meer informatie.

De bijna realtime analyseregels van Microsoft Sentinel bieden up-to- de minuut detectie van bedreigingen. Dit type regel is ontworpen om zeer responsief te zijn door de query met intervallen van slechts één minuut uit te voeren.

Deze sjablonen hebben voorlopig een beperkte toepassing, zoals hieronder wordt beschreven, maar de technologie ontwikkelt en groeit snel.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.

Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.

Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.

Nrt-regels (near-real-time) weergeven

Defender-portal

1. Vouw In het navigatiemenu van Microsoft Defender Microsoft Sentinel en vervolgens Configuratie uit. Selecteer Analyse.

2. Filter de lijst op het scherm Analyse met het tabblad Actieve regels geselecteerd voor NRT-sjablonen.

   1. Selecteer Filter toevoegen en kies Regeltype in de lijst met filters.

   2. Selecteer NRT in de resulterende lijst. Selecteer vervolgens Toepassen.

Azure Portal

1. Selecteer Analytics in de sectie Configuratie van het navigatiemenu van Microsoft Sentinel.

2. Filter de lijst op het scherm Analyse met het tabblad Actieve regels geselecteerd voor NRT-sjablonen.

   1. Selecteer Filter toevoegen en kies Regeltype in de lijst met filters.

   2. Selecteer NRT in de resulterende lijst. Selecteer vervolgens Toepassen.

NRT-regels maken

U maakt NRT-regels op dezelfde manier als u reguliere regels voor geplande queryanalyse maakt:

Defender-portal

1. Vouw In het navigatiemenu van Microsoft Defender Microsoft Sentinel en vervolgens Configuratie uit. Selecteer Analyse.

2. Selecteer in de actiebalk bovenaan het raster de optie +Maken en kies vervolgens NRT-queryregel. Hiermee opent u de Analyseregelswizard.

   

Azure Portal

1. Selecteer Analytics in de sectie Configuratie van het navigatiemenu van Microsoft Sentinel.

2. Selecteer +Maken en selecteer NRT-queryregel in de actiebalk bovenaan. Hiermee opent u de Analyseregelswizard.

   

3. Volg de instructies van de analyticaregelwizard.

   De configuratie van NRT-regels is op de meeste manieren hetzelfde als die van geplande analyseregels.

   • U kunt verwijzen naar meerdere tabellen en volglijsten in uw querylogica.

   • U kunt alle methoden voor waarschuwingsverrijking gebruiken: entiteitstoewijzing, aangepaste details en waarschuwingsdetails.

   • U kunt kiezen hoe u waarschuwingen in incidenten kunt groeperen en een query wilt onderdrukken wanneer een bepaald resultaat is gegenereerd.

   • U kunt reacties op waarschuwingen en incidenten automatiseren.

   • U kunt de regelquery uitvoeren in meerdere werkruimten.

   Vanwege de aard en beperkingen van NRT-regels zijn de volgende functies van geplande analyseregels echter niet beschikbaar in de wizard:

   • Het plannen van query's kan niet worden geconfigureerd, omdat query's automatisch één keer per minuut worden uitgevoerd met een lookbackperiode van één minuut.
   • Waarschuwingsdrempel is irrelevant, omdat er altijd een waarschuwing wordt gegenereerd.
   • Configuratie van gebeurtenisgroepering is nu in beperkte mate beschikbaar. U kunt ervoor kiezen om een NRT-regel te laten genereren voor elke gebeurtenis voor maximaal 30 gebeurtenissen. Als u deze optie kiest en de regel resulteert in meer dan 30 gebeurtenissen, worden waarschuwingen voor één gebeurtenis gegenereerd voor de eerste 29 gebeurtenissen en wordt een 30e waarschuwing samengevat met alle gebeurtenissen in de resultatenset.

   Als gevolg van de groottelimieten van de waarschuwingen moet uw query bovendien gebruikmaken van project instructies om alleen de benodigde velden uit de tabel op te nemen. Anders kan de informatie die u wilt weergeven, worden afgekapt.

Volgende stappen

In dit document hebt u geleerd hoe u bijna realtime analyseregels (NRT) maakt in Microsoft Sentinel.

• Meer informatie over bijna realtime analyseregels (NRT) in Microsoft Sentinel.
• Verken andere soorten analyseregels.