你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

通过 Microsoft Sentinel 中的准实时 (NRT) 分析规则实现快速威胁检测

当你遇到安全威胁时，时间和速度至关重要。 当威胁突然出现时，你需要了解它们，以便能够快速分析和响应以遏制它们。 Microsoft Sentinel 的准实时 (NRT) 分析规则为你提供了更快的威胁检测（更接近于本地 SIEM 的检测），以及在特定场景中缩短响应时间的能力。

Microsoft Sentinel 的准实时分析规则提供开箱即用的最新威胁检测。 这种类型的规则被设计为高度响应，每隔一分钟就运行一次其查询。

NRT 规则的工作原理

NRT 规则已硬编码为每分钟运行一次，并捕获前一分钟引入的事件，以便提供尽可能最新的信息。

与按照内置五分钟延迟（考虑到引入滞后时间）运行的普通计划规则不同，NRT 规则仅按两分钟延迟运行，通过查询事件的引入时间而不是源上的生成时间（TimeGenerated 字段）来解决引入延迟问题。 这可以提高检测的频率和准确度。 （若要更全面地了解此问题，请参阅查询计划和警报阈值及在计划分析规则中处理引入延迟。）

NRT 规则具有许多与计划分析规则相同的特性和功能。 提供了一整套警报扩充功能 — 可以映射实体并显示自定义详细信息，并且可为警报详细信息配置动态内容。 可以选择将警报分组到事件的方式，可以在查询生成结果后暂时禁止其运行，并且可以定义自动化规则和 playbook 以响应从规则生成的警报和事件。

目前，这些模板的应用范围有限（如下所述），但该技术正在快速演进和发展。

注意事项

以下限制目前控制着 NRT 规则的使用：

• 目前，每个客户最多可以定义 50 个规则。

• 根据设计，NRT 规则只对引入延迟小于 12 小时的日志源起作用。

  （由于 NRT 规则类型应该近似于实时数据引入，因此在具有明显引入延迟的日志源上使用 NRT 规则没有任何优势，即使引入延迟远小于 12 小时。）

• 此类型规则的语法正在逐渐演变。 目前，以下限制仍然有效：

  • 由于此规则类型接近实时，因此我们已将内置延迟减至最小（两分钟）。

  • 由于 NRT 规则使用引入时间而不是事件生成时间（由 TimeGenerated 字段表示），因此你可以放心忽略数据源延迟和引入时间延迟（参阅上文）。

  • 查询只能在单个工作区中运行。 没有跨工作区功能。

  • 事件分组现在可以在一定程度上进行配置。 NRT 规则最多可以生成 30 个单事件警报。 具有查询结果超过 30 个事件的规则将为前 29 个事件生成警报，然后生成汇总所有适用事件的第 30 个警报。

  • NRT 规则中定义的查询现在可以引用多个表。

后续步骤

在本文档中，你已了解准实时 (NRT) 分析规则在 Microsoft Sentinel 中的工作原理。

• 了解如何创建 NRT 规则。
• 了解其他类型的分析规则。