Использование правил аналитики обнаружения практически в реальном времени (NRT) в Microsoft Sentinel
Правила аналитики почти в реальном времени Microsoft Sentinel обеспечивают своевременное (до минуты) обнаружение угроз без дополнительной настройки. Этот тип правил рассчитан на высокую скорость реагирования, выполняя запросы с интервалом всего в одну минуту.
В то же время эти шаблоны имеют ограниченное применение, как описано ниже, но технология быстро развивается и совершенствуется.
Внимание
Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Просмотр правил практически в реальном времени (NRT)
В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".
На экране "Аналитика" с выбранной вкладкой "Активные правила" отфильтруйте список шаблонов NRT:
Выберите " Добавить фильтр " и выберите тип правила из списка фильтров.
В результирующем списке выберите NRT. Затем выберите Применить.
Создание правил NRT
Правила NRT создаются так же, как и обычные запланированные правила аналитики запросов.
В разделе "Конфигурация" меню навигации Microsoft Sentinel выберите "Аналитика".
В верхней части панели действий нажмите кнопку +Создать и выберите правило запроса NRT. Откроется Мастер правил аналитики.
Следуйте инструкциям мастера правил аналитики.
Настройка правил NRT почти во всем совпадает с настройкой запланированных правил аналитики.
Вы можете ссылаться на несколько таблиц и списков наблюдения в логике запроса.
Вы можете использовать все доступные методы обогащения оповещений: сопоставление сущностей, пользовательские сведения и сведения об оповещениях.
Вы можете выбрать способ группировки предупреждений в инциденты и подавлять запрос при получении определенного результата.
Вы можете автоматизировать ответы на оповещения и инциденты.
Но в силу особенностей и ограничений правил NRT следующие функции запланированных правил аналитики не будут доступны в мастере.
- Планирование запросов не настраивается, так как запросы всегда выполняются один раз в минуту и всегда оценивают данные за одну последнюю минуту.
- Пороговое значение оповещения не имеет значения, так как оповещение создается всегда.
- Конфигурация группирования событий теперь доступна в ограниченной степени. Правило NRT можно создать оповещение для каждого события до 30 событий. Если этот параметр выбран и правило приводит к более чем 30 событиям, то для первых 29 событий будут созданы оповещения с одним событием, а 30-е оповещение обобщает все события в результирующем наборе.
Кроме того, к запросу применяются следующие требования.
Запрос не может использовать другую рабочую область.
Из-за ограничений размера оповещений в запросе следует использовать инструкции
project, чтобы включить в таблицу только необходимые поля. В противном случае информация, которую вы пытаетесь получить, может быть обрезана.
Следующие шаги
Из этого документа вы узнали, как создать правила аналитики практически в реальном времени (NRT) в Microsoft Sentinel.
- Дополнительные сведения о правилах аналитики почти в реальном времени (NRT) в Microsoft Sentinel.
- Изучите другие типы правил аналитики.