Aracılığıyla paylaş

Zamanlanmış analiz kurallarında alım gecikmesini işleme

  • Makale

Microsoft Sentinel çeşitli kaynaklardan veri alabiliyor olsa da, her veri kaynağı için veri alma süresi farklı durumlarda farklılık gösterebilir.

Bu makalede, alım gecikmesi zamanlanmış analiz kurallarınızı nasıl etkileyebilecek ve bu boşlukları kapatmak için bunları nasıl düzeltebileceğiniz açıklanmaktadır.

Gecikmenin önemli olmasının nedeni

Örneğin, bir özel algılama kuralı yazabilir, Son alanlardan Her sorguyu çalıştır ve Son alanlardaki Arama verilerini kuralın beş dakikada bir çalışması için ayarlayabilir ve bu son beş dakikadaki verileri arayabilirsiniz:

Analiz Kuralı Sihirbazı - Yeni kural oluştur penceresini gösteren ekran görüntüsü.

Son alandaki Arama verileri, arka plan dönemi olarak bilinen bir ayarı tanımlar. İdeal olarak, gecikme olmadığında, bu algılama aşağıdaki diyagramda gösterildiği gibi hiçbir olayı kaçırmaz:

Beş dakikalık arka plan penceresini gösteren diyagram.

Olay oluşturulduktan sonra gelir ve geri arama dönemine dahil edilir.

Şimdi veri kaynağınız için biraz gecikme olduğunu varsayalım. Bu örnekte olayın oluşturulduktan iki dakika sonra alındığını varsayalım. Gecikme iki dakikadır:

İki dakika gecikmeli beş dakikalık arka plan pencerelerini gösteren diyagram.

Olay ilk arka plan dönemi içinde oluşturulur, ancak ilk çalıştırmada Microsoft Sentinel çalışma alanınıza gönderilmez. Zamanlanan sorgu bir sonraki çalıştırılışında olayı alır, ancak zaman tarafından oluşturulan filtre olayı kaldırır çünkü beş dakikadan uzun bir süre önce gerçekleşti. Bu durumda kural bir uyarı tetiklemiyor.

Gecikmeyi işleme

Not

Sorunu aşağıda açıklanan işlemi kullanarak çözebilir veya Microsoft Sentinel'in neredeyse gerçek zamanlı algılama (NRT) kurallarını uygulayabilirsiniz. Daha fazla bilgi için bkz. Microsoft Sentinel'de neredeyse gerçek zamanlı (NRT) analiz kurallarıyla tehditleri hızla algılama.

Sorunu çözmek için veri türünüzün gecikmesini bilmeniz gerekir. Bu örnekte gecikmenin iki dakika olduğunu zaten biliyorsunuz.

Kendi verileriniz için Kusto ingestion_time() işlevini kullanarak gecikmeyi anlayabilir ve TimeGenerated ile alım süresi arasındaki farkı hesaplayabilirsiniz. Daha fazla bilgi için bkz . Alım gecikmesini hesaplama.

Gecikmeyi belirledikten sonra sorunu şu şekilde çözebilirsiniz:

  • Geriye bakma süresini artırın. Temel sezgi, geriye bakma dönemi boyutunu artırmanın size yardımcı olacağını söyler. Geriye bakma süreniz beş dakika ve gecikmeniz iki dakika olduğundan, geriye bakma süresini yedi dakika olarak ayarlamak bu sorunu çözmenize yardımcı olur. Örneğin, kural ayarlarınızda:

    Arka plan penceresini yedi dakikaya ayarlamayı gösteren ekran görüntüsü.

    Aşağıdaki diyagramda, look-pack döneminin artık kaçırılan olayı nasıl içerdiği gösterilmektedir:

    İki dakikalık gecikme süresiyle yedi dakikalık geriye bakma pencerelerini gösteren diyagram.

  • Yinelenenleri işleme. Geriye bakma pencereleri artık çakıştığı için yalnızca geriye bakma döneminin artırılması yinelemeye neden olabilir. Örneğin, aşağıdaki diyagramda gösterildiği gibi farklı bir olay görünebilir:

    Çakışan arka plan pencerelerinin yinelemeyi nasıl oluşturacağını gösteren diyagram.

    TimeGenerated değeri her iki geri arama döneminde de bulunduğundan, olay iki uyarı tetikler. Yinelemeyi çözmenin bir yolunu bulmanız gerekir.

  • Olayı belirli bir arka plan dönemiyle ilişkilendirin. İlk örnekte, zamanlanan sorgu çalıştırıldığında verileriniz alınmadığı için olayları kaçırdınız. Arka görünümü olayı içerecek şekilde genişlettiniz, ancak bu yinelemeye neden oldu. Olayı içerecek şekilde genişletmiş olduğunuz pencereyle ilişkilendirmeniz gerekir.

    Bunu yapmak için özgün kuralı look-back = 5myerine ayarını ingestion_time() > ago(5m)yapın. Bu ayar olayı ilk arka plan penceresiyle ilişkilendirir. Örnek:

    Ago kısıtlamasının ayarlanmasının yinelemeyi nasıl önleeceğini gösteren diyagram.

    Alma süresi kısıtlaması artık geriye bakma süresine eklediğiniz fazladan iki dakikayı kısaltıyor. İlk örnekte ikinci çalıştırma geriye bakma dönemi artık olayı yakalar:

    Ago kısıtlamasının ayarlanmasının olayı nasıl yakaladığını gösteren diyagram.

Aşağıdaki örnek sorgu, alım gecikmesi sorunlarını çözmeye yönelik çözümü özetler:

let ingestion_delay = 2min;
let rule_look_back = 5min;
CommonSecurityLog
| where TimeGenerated >= ago(ingestion_delay + rule_look_back)
| where ingestion_time() > ago(rule_look_back)

Alım gecikmesini hesaplama

Varsayılan olarak, Microsoft Sentinel zamanlanmış uyarı kuralları 5 dakikalık bir geriye bakma süresine sahip olacak şekilde yapılandırılır. Ancak her veri kaynağının kendi ayrı alım gecikmesi olabilir. Birden çok veri türünü birleştirirken, geri arama süresini doğru yapılandırmak için her veri türü için farklı gecikmeleri anlamanız gerekir.

Microsoft Sentinel'de kullanıma hazır olarak sağlanan Çalışma Alanı Kullanım Raporu, çalışma alanınıza akan farklı veri türleri için gecikmeyi ve gecikmeleri gösteren bir pano içerir.

Örnek:

Tabloya göre Uçtan Uca Gecikme Süresini gösteren Çalışma Alanı Kullanım Raporu'nun ekran görüntüsü

Sonraki adımlar

Daha fazla bilgi için bkz.