Delen via

Opnamevertraging verwerken in geplande analyseregels

  • Artikel

Hoewel Microsoft Sentinel gegevens uit verschillende bronnen kan opnemen, kan de opnametijd voor elke gegevensbron in verschillende omstandigheden verschillen.

In dit artikel wordt beschreven hoe opnamevertraging van invloed kan zijn op uw geplande analyseregels en hoe u deze kunt oplossen om deze hiaten te dekken.

Waarom vertraging aanzienlijk is

U kunt bijvoorbeeld een aangepaste detectieregel schrijven, de query Uitvoeren elke en opzoekgegevens van de laatste velden instellen om de regel om de vijf minuten uit te voeren, waarbij gegevens uit die laatste vijf minuten worden opgezoekd:

Schermopname van de wizard Analyseregel - Venster Nieuwe regel maken.

Met de opzoekgegevens uit het laatste veld wordt een instelling gedefinieerd die een lookback-periode wordt genoemd. In het ideale gevallen mist deze detectie geen gebeurtenissen, zoals wordt weergegeven in het volgende diagram:

Diagram met een terugblikvenster van vijf minuten.

De gebeurtenis komt binnen wanneer deze wordt gegenereerd en wordt opgenomen in de lookbackperiode .

Stel nu dat er enige vertraging is voor uw gegevensbron. In dit voorbeeld zeggen we dat de gebeurtenis twee minuten nadat deze is gegenereerd, is opgenomen. De vertraging is twee minuten:

Diagram met een blikvenster van vijf minuten met een vertraging van twee minuten.

De gebeurtenis wordt gegenereerd binnen de eerste look-backperiode, maar wordt niet opgenomen in uw Microsoft Sentinel-werkruimte tijdens de eerste uitvoering. De volgende keer dat de geplande query wordt uitgevoerd, wordt de gebeurtenis opgenomen, maar het tijd gegenereerde filter verwijdert de gebeurtenis omdat deze meer dan vijf minuten geleden is gebeurd. In dit geval wordt er geen waarschuwing geactiveerd door de regel.

Vertraging afhandelen

Notitie

U kunt het probleem oplossen met behulp van het hieronder beschreven proces of de regels voor bijna realtime detectie (NRT) van Microsoft Sentinel implementeren. Zie Bedreigingen snel detecteren met bijna realtime analyseregels (NRT) in Microsoft Sentinel voor meer informatie.

Als u het probleem wilt oplossen, moet u weten wat de vertraging is voor uw gegevenstype. In dit voorbeeld weet u al dat de vertraging twee minuten is.

Voor uw eigen gegevens kunt u de vertraging begrijpen met behulp van de Kusto-functie ingestion_time() en het berekenen van het verschil tussen TimeGenerated en de opnametijd. Zie Opnamevertraging berekenen voor meer informatie.

Nadat u de vertraging hebt vastgesteld, kunt u het probleem als volgt oplossen:

  • Verhoog de terugblikperiode. Basisintuïtitie vertelt u dat het vergroten van de grootte van de look-backperiode zal helpen. Omdat uw look-backperiode vijf minuten is en uw vertraging twee minuten is, kunt u deze probleem oplossen door de periode van de lookback in te stellen op zeven minuten. Bijvoorbeeld in de regelinstellingen:

    Schermopname van het instellen van het venster look-back op zeven minuten.

    In het volgende diagram ziet u hoe de periode look-pack nu de gemiste gebeurtenis bevat:

    Diagram waarin de vensters van zeven minuten worden weergegeven met een vertraging van twee minuten.

  • Verhandel duplicatie. Alleen het verhogen van de look-backperiode kan duplicatie maken, omdat de look-backvensters nu overlappen. Een andere gebeurtenis kan er bijvoorbeeld uitzien zoals wordt weergegeven in het volgende diagram:

    Diagram waarin wordt getoond hoe overlappende look-backvensters duplicatie maken.

    Omdat de gebeurtenis TimeGenerated-waarde wordt gevonden in beide look-backperioden, worden twee waarschuwingen geactiveerd. U moet een manier vinden om de duplicatie op te lossen.

  • Koppel de gebeurtenis aan een specifieke look-backperiode. In het eerste voorbeeld hebt u gebeurtenissen gemist omdat uw gegevens niet zijn opgenomen toen de geplande query werd uitgevoerd. U hebt de look-back uitgebreid om de gebeurtenis op te nemen, maar dit heeft duplicatie veroorzaakt. U moet de gebeurtenis koppelen aan het venster dat u hebt uitgebreid om deze te kunnen bevatten.

    Doe dit door in te stellen ingestion_time() > ago(5m), in plaats van de oorspronkelijke regel look-back = 5m. Met deze instelling wordt de gebeurtenis gekoppeld aan het eerste look-back-venster. Voorbeeld:

    Diagram waarin wordt getoond hoe het instellen van de ago-beperking duplicatie voorkomt.

    De opnametijdbeperking beperkt nu de extra twee minuten die u aan de look-back-periode hebt toegevoegd. En voor het eerste voorbeeld legt de tweede look-backperiode de gebeurtenis vast:

    Diagram waarin wordt getoond hoe het instellen van de geleden beperking de gebeurtenis vastlegt.

De volgende voorbeeldquery bevat een overzicht van de oplossing voor het oplossen van problemen met opnamevertraging:

let ingestion_delay = 2min;
let rule_look_back = 5min;
CommonSecurityLog
| where TimeGenerated >= ago(ingestion_delay + rule_look_back)
| where ingestion_time() > ago(rule_look_back)

Opnamevertraging berekenen

Standaard zijn geplande waarschuwingsregels van Microsoft Sentinel geconfigureerd voor een periode van 5 minuten. Elke gegevensbron kan echter een eigen, afzonderlijke opnamevertraging hebben. Wanneer u meerdere gegevenstypen samenvoegt, moet u de verschillende vertragingen voor elk gegevenstype begrijpen om de look-backperiode correct te configureren.

Het gebruiksrapport voor werkruimten, dat standaard in Microsoft Sentinel wordt geleverd, bevat een dashboard met latentie en vertragingen voor de verschillende gegevenstypen die naar uw werkruimte stromen.

Voorbeeld:

Schermopname van het werkruimtegebruiksrapport met end-to-endlatentie per tabel

Volgende stappen

Zie voor meer informatie: