使用 Microsoft Sentinel 中的近即時 (NRT) 分析規則來快速偵測威脅

什麼是近乎即時的分析規則？

當您面臨安全性威脅時，時間和速度是本質。 您必須在威脅具體化時注意威脅，以便快速分析及回應以包含它們。 Microsoft Sentinel 的近乎即時 （NRT） 分析規則可讓您更快速地偵測威脅，更接近內部部署 SIEM 的威脅偵測，以及縮短特定案例中回應時間的能力。

Microsoft Sentinel 的 近乎即時分析規則 提供現用的即時威脅偵測。 這種規則的設計目的是要以相隔一分鐘的間隔執行查詢，以高度回應。

這些功能如何運作？

NRT 規則會硬式編碼，每分鐘執行一次，並擷取前一分鐘內嵌的事件，以便盡可能提供資訊。

不同於在內建的五分鐘延遲上執行的定期排程規則，以考慮擷取時間延遲，NRT 規則只會以兩分鐘的延遲執行，藉由查詢事件的擷取時間，而不是在來源產生時間來解決擷取延遲問題（TimeGenerated 字段）。 這可改善偵測的頻率和精確度。 （若要更完整地瞭解此問題，請參閱 查詢排程和警示閾值 ，以及 處理排程分析規則中的擷取延遲。

NRT 規則有許多與排程分析規則相同的特性和功能。 完整的警示擴充功能集可供使用，您可以對應實體和表面自定義詳細數據，以及設定警示詳細數據的動態內容。 您可以選擇將警示分組為事件的方式，您可以在產生結果之後暫時隱藏查詢的執行，而且您可以定義自動化規則和劇本，以響應規則所產生的警示和事件。

目前，這些範本的應用程式有限，如下所述，但這項技術正在迅速演變和成長。

考量

下列限制目前會控管 NRT 規則的使用：

1. 目前無法為每個客戶定義超過 50 個規則。

2. 根據設計，NRT 規則只會在記錄來源 上正常運作，擷取延遲少於12小時。

   （由於 NRT 規則類型應該近似 實時數據 擷取，因此在記錄來源上使用 NRT 規則具有重大擷取延遲的任何優勢，即使它遠遠少於 12 小時也一樣。

3. 這種規則的語法正在逐漸演進。 目前，下列限制仍然有效：

   1. 因為此規則類型近乎即時，所以我們已將內建延遲降至最低 (兩分鐘)。

   2. 由於 NRT 規則會使用擷取時間，而不是事件產生時間 (由 TimeGenerated 欄位表示)，因此您可以放心地忽略資料來源延遲和擷取時間延遲 (請參閱上述說明)。

   3. 查詢只能在單一工作區內執行。 沒有跨工作區執行的能力。

   4. 事件群組現在可設定為有限的程度。 NRT 規則最多可以產生 30 個單一事件警示。 具有查詢以產生超過 30 個事件的規則會產生前 29 個事件的警示，然後產生第 30 個警示，以摘要說明所有適用的事件。

   5. NRT 規則中定義的查詢現在可以參考 多個數據表。

下一步

在本檔中，您已瞭解 Microsoft Sentinel 中近乎即時 （NRT） 分析規則的運作方式。

• 瞭解如何 建立 NRT 規則。
• 了解其他類型的分析規則。