Быстрое обнаружение угроз с помощью правил аналитики практически в реальном времени (NRT) в Microsoft Sentinel

Что такое правила аналитики практически в реальном времени (NRT)?

При столкновении с угрозами безопасности время и скорость играют важную роль. Необходимо узнавать об угрозах по мере их появления, чтобы их анализировать и быстро реагировать. Правила аналитики Microsoft Sentinel практически в режиме реального времени (NRT) предлагают более быстрое обнаружение угроз ( ближе к локальному SIEM) и возможность сократить время отклика в определенных сценариях.

Правила аналитики почти в реальном времени Microsoft Sentinel обеспечивают своевременное (до минуты) обнаружение угроз без дополнительной настройки. Этот тип правил рассчитан на высокую скорость реагирования, выполняя запросы с интервалом всего в одну минуту.

Как они работают?

Правила NRT жестко запрограммированы так, чтобы они выполнялись каждую минуту и регистрировали события, принятые в течение предыдущей минуты, чтобы сведения предоставлялись как можно быстрее.

В отличие от регулярных запланированных правил, которые выполняются со встроенной пятиминутной задержкой для учета запаздывания времени приема, правила NRT выполняются с задержкой не более двух минут, что позволяет решить проблему задержки приема, запрашивая время приема событий, а не время их создания в источнике (поле TimeGenerated). За счет этого увеличивается скорость и точность при обнаружении. (Чтобы узнать об этом подробнее, обратитесь к статьям Планирование запросов и пороговое значение оповещения и Обработка задержки приема данных в запланированных правилах аналитики.)

Правила NRT обладают многими функциями и возможностями, характерными для запланированных правил аналитики. Доступен полный набор возможностей обогащения оповещений— можно сопоставить сущности и пользовательские сведения о поверхности, а также настроить динамическое содержимое для сведений об оповещении. Вы можете выбрать способ группировки оповещений в инциденты. Можно временно подавить выполнение запроса после создания результата, а также определить правила автоматизации и сборники схем, которые будут выполняться в ответ на оповещения и инциденты, сгенерированные правилом.

В то же время эти шаблоны имеют ограниченное применение, как описано ниже, но технология быстро развивается и совершенствуется.

Рекомендации

В настоящее время в отношении правил NRT применяются следующие ограничения:

1. В настоящее время для каждого клиента можно определить не более 50 правил.

2. По умолчанию правила NRT будут правильно работать только в источниках журналов с задержкой приема менее 12 часов.

   (Так как тип правила NRT должен приблизиться к приему данных в режиме реального времени, использование правил NRT для источников журналов с значительной задержкой приема не дает никаких преимуществ, даже если эта задержка намного меньше 12 часов.)

3. Синтаксис этого типа правила постепенно развивается. В настоящее время следующие ограничения остаются в силе:

   1. Поскольку тип правила практически в реальном времени, мы сократили встроенную задержку до минимума (две минуты).

   2. Поскольку правила NRT используют время приема, а не время создания события (указанное в поле TimeGenerated), вы можете игнорировать задержку источника данных и задержку приема (см. выше).

   3. Запросы могут выполняться только в одной рабочей области. Возможность использования нескольких рабочих областей не предусмотрена.

   4. Теперь группирование событий настраивается в ограниченной степени. Правила NRT могут создавать до 30 оповещений с одним событием. Правило с запросом, которое приводит к более чем 30 событиям, будет создавать оповещения для первых 29, а затем 30-е оповещение, которое суммирует все применимые события.

   5. Запросы, определенные в правиле NRT, теперь могут ссылаться на несколько таблиц.

Следующие шаги

Из этого документа вы узнали, как правила аналитики практически в реальном времени (NRT) работают в Microsoft Sentinel.

• Узнайте, как создавать правила NRT.
• Сведения о других типах правил аналитики.