Поделиться через

Использование правил аналитики обнаружения практически в реальном времени (NRT) в Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Внимание

Пользовательские обнаружения теперь является лучшим способом создания новых правил в Microsoft Sentinel SIEM и Microsoft Defender XDR. Благодаря пользовательским обнаружениям, можно сократить затраты на сбор данных, получить неограниченное количество обнаружений в режиме реального времени и воспользоваться преимуществами бесшовной интеграции с данными, функциями и действиями по исправлению в Defender XDR с помощью автоматического сопоставления сущностей. Дополнительные сведения см. в этом блоге.

Правила аналитики Microsoft Sentinel в режиме близком к реальному времени предоставляют обнаружение угроз по умолчанию up-to-минутного масштаба. Этот тип правил рассчитан на высокую скорость реагирования, выполняя запросы с интервалом всего в одну минуту.

В то же время эти шаблоны имеют ограниченное применение, как описано ниже, но технология быстро развивается и совершенствуется.

Внимание

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Просмотр правил практически в реальном времени (NRT)

  1. В меню навигации Microsoft Defender разверните Microsoft Sentinel, затем Конфигурация. Выберите "Аналитика".

  2. На экране "Аналитика" с выбранной вкладкой "Активные правила " отфильтруйте список шаблонов NRT :

    1. Выберите " Добавить фильтр " и выберите тип правила из списка фильтров.

    2. В результирующем списке выберите NRT. Затем нажмите кнопку "Применить".

Создайте правила NRT

Правила NRT создаются так же, как вы создаете правила аналитики регулярных запланированных запросов:

  1. В меню навигации Microsoft Defender разверните Microsoft Sentinel, затем Конфигурация. Выберите "Аналитика".

  2. В строке действий в верхней части сетки нажмите кнопку +Создать и выберите правило запроса NRT. Откроется мастер правил аналитики.

    На снимке экрана показано, как создать новое правило NRT.

  1. Следуйте инструкциям мастера правил аналитики.

    Настройка правил NRT почти во всем совпадает с настройкой запланированных правил аналитики.

    Однако из-за характера и ограничений правил NRT в мастере не будут доступны следующие функции запланированных правил аналитики:

    • Планирование запросов не настраивается, так как запросы автоматически запланированы на выполнение один раз в минуту с одним минутным периодом обратного просмотра.
    • Порог оповещений не имеет значения, так как оповещение всегда создается.
    • Конфигурация группирования событий теперь доступна в ограниченной степени. Вы можете выбрать, чтобы правило NRT генерировало оповещение для каждого события, максимум до 30 событий. Если этот параметр выбран и правило приводит к более чем 30 событиям, то для первых 29 событий будут созданы оповещения с одним событием, а 30-е оповещение обобщает все события в результирующем наборе.

    Кроме того, из-за ограничений размера оповещений запрос должен использовать project инструкции, чтобы включить только необходимые поля из таблицы. В противном случае информация, которую вы пытаетесь отобразить, может быть усечена.

Следующие шаги

Из этого документа вы узнали, как создать правила аналитики практически в реальном времени (NRT) в Microsoft Sentinel.

  • Last updated on