Поделиться через


Быстрое обнаружение угроз с использованием правил аналитики NRT в Microsoft Sentinel

При столкновении с угрозами безопасности время и скорость играют важную роль. Необходимо узнавать об угрозах по мере их появления, чтобы их анализировать и быстро реагировать. Правила аналитики Microsoft Sentinel практически в режиме реального времени (NRT) предлагают более быстрое обнаружение угроз ( ближе к локальному SIEM) и возможность сократить время отклика в определенных сценариях.

Правила аналитики почти в реальном времени Microsoft Sentinel обеспечивают своевременное (до минуты) обнаружение угроз без дополнительной настройки. Этот тип правил рассчитан на высокую скорость реагирования, выполняя запросы с интервалом всего в одну минуту.

Как работают правила NRT

Правила NRT жестко закодированы, чтобы выполняться каждые минуты и записывать события, приема которых за предыдущую минуту, чтобы предоставить вам информацию как можно до минуты.

В отличие от регулярных запланированных правил, которые выполняются со встроенной пятиминутной задержкой для учета запаздывания времени приема, правила NRT выполняются с задержкой не более двух минут, что позволяет решить проблему задержки приема, запрашивая время приема событий, а не время их создания в источнике (поле TimeGenerated). За счет этого увеличивается скорость и точность при обнаружении. (Чтобы узнать об этом подробнее, обратитесь к статьям Планирование запросов и пороговое значение оповещения и Обработка задержки приема данных в запланированных правилах аналитики.)

Правила NRT обладают многими функциями и возможностями, характерными для запланированных правил аналитики. Доступен полный набор возможностей обогащения оповещений— можно сопоставить сущности и пользовательские сведения о поверхности, а также настроить динамическое содержимое для сведений об оповещении. Вы можете выбрать способ группировки оповещений в инциденты. Можно временно подавить выполнение запроса после создания результата, а также определить правила автоматизации и сборники схем, которые будут выполняться в ответ на оповещения и инциденты, сгенерированные правилом.

В то же время эти шаблоны имеют ограниченное применение, как описано ниже, но технология быстро развивается и совершенствуется.

Рекомендации

В настоящее время в отношении правил NRT применяются следующие ограничения:

  • В настоящее время для каждого клиента можно определить не более 50 правил.

  • По умолчанию правила NRT будут правильно работать только в источниках журналов с задержкой приема менее 12 часов.

    (Так как тип правила NRT должен приблизиться к приему данных в режиме реального времени, использование правил NRT для источников журналов с значительной задержкой приема не дает никаких преимуществ, даже если эта задержка намного меньше 12 часов.)

  • Синтаксис этого типа правила постепенно развивается. В настоящее время следующие ограничения остаются в силе:

    • Поскольку тип правила практически в реальном времени, мы сократили встроенную задержку до минимума (две минуты).

    • Поскольку правила NRT используют время приема, а не время создания события (указанное в поле TimeGenerated), вы можете игнорировать задержку источника данных и задержку приема (см. выше).

    • Запросы могут выполняться только в одной рабочей области. Возможность использования нескольких рабочих областей не предусмотрена.

    • Теперь группирование событий настраивается в ограниченной степени. Правила NRT могут создавать до 30 оповещений с одним событием. Правило с запросом, которое приводит к более чем 30 событиям, будет создавать оповещения для первых 29, а затем 30-е оповещение, которое суммирует все применимые события.

    • Запросы, определенные в правиле NRT, теперь могут ссылаться на несколько таблиц.

Следующие шаги

Из этого документа вы узнали, как правила аналитики практически в реальном времени (NRT) работают в Microsoft Sentinel.