Zamanlanmış analiz kurallarında alım gecikmesini işleme
Microsoft Sentinel çeşitli kaynaklardan veri alabiliyor olsa da, her veri kaynağı için veri alma süresi farklı durumlarda farklılık gösterebilir.
Bu makalede, alım gecikmesi zamanlanmış analiz kurallarınızı nasıl etkileyebilecek ve bu boşlukları kapatmak için bunları nasıl düzeltebileceğiniz açıklanmaktadır.
Gecikmenin önemli olmasının nedeni
Örneğin, bir özel algılama kuralı yazabilir, Son alanlardan Her sorguyu çalıştır ve Son alanlardaki Arama verilerini kuralın beş dakikada bir çalışması için ayarlayabilir ve bu son beş dakikadaki verileri arayabilirsiniz:
Son alandaki Arama verileri, arka plan dönemi olarak bilinen bir ayarı tanımlar. İdeal olarak, gecikme olmadığında, bu algılama aşağıdaki diyagramda gösterildiği gibi hiçbir olayı kaçırmaz:
Olay oluşturulduktan sonra gelir ve geri arama dönemine dahil edilir.
Şimdi veri kaynağınız için biraz gecikme olduğunu varsayalım. Bu örnekte olayın oluşturulduktan iki dakika sonra alındığını varsayalım. Gecikme iki dakikadır:
Olay ilk arka plan dönemi içinde oluşturulur, ancak ilk çalıştırmada Microsoft Sentinel çalışma alanınıza gönderilmez. Zamanlanan sorgu bir sonraki çalıştırılışında olayı alır, ancak zaman tarafından oluşturulan filtre olayı kaldırır çünkü beş dakikadan uzun bir süre önce gerçekleşti. Bu durumda kural bir uyarı tetiklemiyor.
Gecikmeyi işleme
Not
Sorunu aşağıda açıklanan işlemi kullanarak çözebilir veya Microsoft Sentinel'in neredeyse gerçek zamanlı algılama (NRT) kurallarını uygulayabilirsiniz. Daha fazla bilgi için bkz. Microsoft Sentinel'de neredeyse gerçek zamanlı (NRT) analiz kurallarıyla tehditleri hızla algılama.
Sorunu çözmek için veri türünüzün gecikmesini bilmeniz gerekir. Bu örnekte gecikmenin iki dakika olduğunu zaten biliyorsunuz.
Kendi verileriniz için Kusto ingestion_time()
işlevini kullanarak gecikmeyi anlayabilir ve TimeGenerated ile alım süresi arasındaki farkı hesaplayabilirsiniz. Daha fazla bilgi için bkz . Alım gecikmesini hesaplama.
Gecikmeyi belirledikten sonra sorunu şu şekilde çözebilirsiniz:
Geriye bakma süresini artırın. Temel sezgi, geriye bakma dönemi boyutunu artırmanın size yardımcı olacağını söyler. Geriye bakma süreniz beş dakika ve gecikmeniz iki dakika olduğundan, geriye bakma süresini yedi dakika olarak ayarlamak bu sorunu çözmenize yardımcı olur. Örneğin, kural ayarlarınızda:
Aşağıdaki diyagramda, look-pack döneminin artık kaçırılan olayı nasıl içerdiği gösterilmektedir:
Yinelenenleri işleme. Geriye bakma pencereleri artık çakıştığı için yalnızca geriye bakma döneminin artırılması yinelemeye neden olabilir. Örneğin, aşağıdaki diyagramda gösterildiği gibi farklı bir olay görünebilir:
TimeGenerated değeri her iki geri arama döneminde de bulunduğundan, olay iki uyarı tetikler. Yinelemeyi çözmenin bir yolunu bulmanız gerekir.
Olayı belirli bir arka plan dönemiyle ilişkilendirin. İlk örnekte, zamanlanan sorgu çalıştırıldığında verileriniz alınmadığı için olayları kaçırdınız. Arka görünümü olayı içerecek şekilde genişlettiniz, ancak bu yinelemeye neden oldu. Olayı içerecek şekilde genişletmiş olduğunuz pencereyle ilişkilendirmeniz gerekir.
Bunu yapmak için özgün kuralı
look-back = 5m
yerine ayarınıingestion_time() > ago(5m)
yapın. Bu ayar olayı ilk arka plan penceresiyle ilişkilendirir. Örnek:Alma süresi kısıtlaması artık geriye bakma süresine eklediğiniz fazladan iki dakikayı kısaltıyor. İlk örnekte ikinci çalıştırma geriye bakma dönemi artık olayı yakalar:
Aşağıdaki örnek sorgu, alım gecikmesi sorunlarını çözmeye yönelik çözümü özetler:
let ingestion_delay = 2min;
let rule_look_back = 5min;
CommonSecurityLog
| where TimeGenerated >= ago(ingestion_delay + rule_look_back)
| where ingestion_time() > ago(rule_look_back)
Alım gecikmesini hesaplama
Varsayılan olarak, Microsoft Sentinel zamanlanmış uyarı kuralları 5 dakikalık bir geriye bakma süresine sahip olacak şekilde yapılandırılır. Ancak her veri kaynağının kendi ayrı alım gecikmesi olabilir. Birden çok veri türünü birleştirirken, geri arama süresini doğru yapılandırmak için her veri türü için farklı gecikmeleri anlamanız gerekir.
Microsoft Sentinel'de kullanıma hazır olarak sağlanan Çalışma Alanı Kullanım Raporu, çalışma alanınıza akan farklı veri türleri için gecikmeyi ve gecikmeleri gösteren bir pano içerir.
Örnek:
Sonraki adımlar
Daha fazla bilgi için bkz.