Identifiera hot snabbt med NRT-analysregler (nästan i realtid) i Microsoft Sentinel

Vad är analysregler i nära realtid (NRT) ?

När du står inför säkerhetshot är tid och hastighet av avgörande betydelse. Du måste vara medveten om hot när de materialiseras så att du snabbt kan analysera och svara för att begränsa dem. Microsoft Sentinels nrt-analysregler (near-real-time) ger dig snabbare hotidentifiering – närmare en lokal SIEM– och möjligheten att förkorta svarstiderna i specifika scenarier.

Microsoft Sentinels analysregler i nära realtid ger en uppdaterad hotidentifiering. Den här typen av regel har utformats för att vara mycket dynamisk genom att köra frågan med intervall med bara en minuts mellanrum.

Hur fungerar de?

NRT-regler hårdkodas för att köras en gång i minuten och avbilda händelser som matas in under föregående minut, så att du kan förse dig med information så upp till minuten som möjligt.

Till skillnad från vanliga schemalagda regler som körs på en inbyggd femminutersfördröjning för att ta hänsyn till fördröjning av inmatningstiden, körs NRT-regler på bara två minuters fördröjning, vilket löser problemet med inmatningsfördröjning genom att fråga efter händelsers inmatningstid i stället för deras generationstid vid källan (fältet TimeGenerated). Detta resulterar i förbättringar av både frekvens och noggrannhet i dina identifieringar. (Mer information om problemet finns i Frågeschemaläggning och aviseringströskel och Hantera inmatningsfördröjning i schemalagda analysregler.)

NRT-regler har många av samma funktioner som schemalagda analysregler. Den fullständiga uppsättningen funktioner för aviseringsberikning är tillgänglig– du kan mappa entiteter och anpassad information för ytan och du kan konfigurera dynamiskt innehåll för aviseringsinformation. Du kan välja hur aviseringar grupperas i incidenter, du kan tillfälligt förhindra körningen av en fråga när den genererar ett resultat och du kan definiera automatiseringsregler och spelböcker som ska köras som svar på aviseringar och incidenter som genereras från regeln.

För närvarande har dessa mallar ett begränsat program enligt beskrivningen nedan, men tekniken utvecklas snabbt och växer.

Att tänka på

Följande begränsningar styr för närvarande användningen av NRT-regler:

1. Det går för närvarande inte att definiera fler än 50 regler per kund.

2. Enligt design fungerar NRT-regler endast korrekt på loggkällor med en inmatningsfördröjning på mindre än 12 timmar.

   (Eftersom NRT-regeltypen är tänkt att ungefärlig datainmatning i realtid ger det dig ingen fördel att använda NRT-regler på loggkällor med betydande inmatningsfördröjning, även om det är mycket mindre än 12 timmar.)

3. Syntaxen för den här typen av regel utvecklas gradvis. För närvarande gäller följande begränsningar:

   1. Eftersom den här regeltypen är nästan i realtid har vi minskat den inbyggda fördröjningen till ett minimum (två minuter).

   2. Och eftersom NRT-regler använder inmatningstiden i stället för tiden då händelsen genereras (vilket representeras av fältet TimeGenerated) kan du ignorera fördröjningen för datakällan och svarstiden för inmatningstid (se ovan).

   3. Frågor kan bara köras inom en enda arbetsyta. Det finns ingen funktion för frågor mellan arbetsytor.

   4. Händelsegruppering kan nu konfigureras i begränsad utsträckning. NRT-regler kan generera upp till 30 enhändelseaviseringar. En regel med en fråga som resulterar i fler än 30 händelser skapar aviseringar för den första 29 och sedan en 30:e avisering som sammanfattar alla tillämpliga händelser.

   5. Frågor som definierats i en NRT-regel kan nu referera till fler än en tabell.

Nästa steg

I det här dokumentet har du lärt dig hur NRT-analysregler (near-real-time) fungerar i Microsoft Sentinel.

• Lär dig hur du skapar NRT-regler.
• Läs mer om andra typer av analysregler.