Compartilhar via

Trabalhar com regras de análise de detecção quase em tempo real (NRT) no Microsoft Azure Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

As regras de análise quase em tempo real do Microsoft Sentinel oferecem uma detecção de ameaças minuto a minuto, para uso imediato. Esse tipo de regra foi projetado para ser altamente responsivo ao executar consultas em intervalos de apenas um minuto.

Por enquanto, esses modelos têm aplicação limitada, conforme descrito abaixo, mas a tecnologia está evoluindo e crescendo rapidamente.

Importante

O Microsoft Sentinel está disponível como parte da plataforma de operações de segurança unificada no portal do Microsoft Defender. O Microsoft Sentinel no portal do Defender agora tem suporte para uso em produção. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Exibir regras de NRT (quase em tempo real)

  1. Na seção Configuração no menu de navegação do Microsoft Sentinel, selecione Análise.

  2. Na tela Análise, com a guia Regras ativas selecionada, filtre a lista para modelos NRT:

    1. Selecione Adicionar filtro e escolha o Tipo de regra na lista de filtros.

    2. Na lista resultante, selecione NRT. Em seguida, selecione Aplicar.

Criar regras NRT

Você pode criar regras NRT da mesma maneira que cria regras de análise de consulta agendada regulares:

  1. Na seção Configuração no menu de navegação do Microsoft Sentinel, selecione Análise.

  2. Na barra de ação na parte superior, selecione + Criar e selecione Regra de consulta NRT. Isso abre o Assistente de regra de análise.

    Captura de tela que mostra como criar uma nova regra NRT.

  1. Siga as instruções do assistente de regras de análise.

    A configuração das regras NRT é, na maioria dos casos, a mesma das regras de análise agendadas.

    • Você pode consultar as varias tabelas e watchlists na sua lógica de consulta.

    • Você pode usar todos os métodos de enriquecimento de alerta:mapeamento de entidade, detalhes personalizados e detalhes do alerta.

    • Você pode escolher como agrupar alertas em incidentes e escolher suprimir uma consulta quando um resultado específico for gerado.

    • Você pode automatizar respostas a alertas e incidentes.

    Por causa da natureza e das limitações das regras NRT, no entanto, os seguintes recursos das regras de análise agendadas não estarão disponíveis no assistente:

    • O agendamento de consultas não pode ser configurado, pois as consultas são agendadas automaticamente para serem executadas uma vez por minuto com um período de retrospectiva de um minuto.
    • O limite de alertas é irrelevante, pois é sempre gerado um alerta.
    • A configuração de agrupamento de eventos agora está disponível em um grau limitado. Você pode optar por fazer com que uma regra NRT gere um alerta para cada evento para até 30 eventos. Se você escolher essa opção e a regra resultar em mais de 30 eventos, alertas de evento único serão gerados para os primeiros 29 eventos e um 30º alerta resumirá todos os eventos no conjunto de resultados.

    Além disso, a própria consulta tem os seguintes requisitos:

    • Não é possível executar a consulta entre workspaces.

    • Devido aos limites de tamanho dos alertas, sua consulta deve usar instruções project para incluir apenas os campos necessários da tabela. Caso contrário, as informações que você deseja mostrar poderão acabar sendo truncadas.

Próximas etapas

Neste documento, você aprendeu a criar regras de análise quase em tempo real (NRT) no Microsoft Azure Sentinel.