Microsoft Sentinel 中使用近即時 (NRT) 分析規則快速威脅偵測
在面臨安全性威脅時,時間和速度非常重要。 您必須意識到威脅的成形,才能快速分析並回應以遏制威脅。 Microsoft Sentinel 近乎即時 (NRT) 的分析規則可讓您更快速地偵測到威脅 (更接近內部部署 SIEM 的威脅偵測),並能夠縮短特定案例的回應時間。
Microsoft Sentinel 的近乎即時分析規則會提供現成可用的即時威脅偵測。 這種類型的規則旨在以一分鐘的間隔執行其查詢,以便能快速回應。
NRT 規則的運作方式
NRT 規則會硬式編碼為每分鐘執行一次,並擷取前一分鐘內插入的事件,盡可能提供最新的資訊。
不同於以內建的五分鐘延遲執行的定期排程規則,為考量擷取時間延遲,NRT 規則只會以兩分鐘的延遲執行,藉由查詢事件的擷取時間而非其在來源的產生時間 (TimeGenerated 欄位) 來解決擷取延遲問題。 這可改善偵測的頻率和正確性。 (若要更完整了解此問題,請參閱查詢排程和警示閾值和處理排程分析規則中的擷取延遲。)
NRT 規則有許多與排程分析規則相同的特性和功能。 完整的警示擴充集可供使用 - 您可以對應實體和呈現自訂詳細資料,也可以設定警示詳細資料的動態內容。 您可以選擇將警示分組為事件的方式,您可以在產生結果之後暫時隱藏查詢的執行,而且您可以定義要執行的自動化規則和劇本,以回應規則所產生的警示和事件。
目前,這些範本的應用有限 (如下所述),但科技會快速發展並成長。
考量
下列限制目前會控管 NRT 規則的使用:
目前每一客戶只能定義 50 個以內的規則。
根據設計,NRT 規則將只會對擷取延遲少於 12 小時的記錄來源正常運作。
(由於 NRT 規則類型應該為近似即時資料擷取,因此在記錄來源上使用 NRT 規則但有重大擷取延遲並無法為您帶來任何優勢,即使它遠少於 12 小時也一樣。)
這種規則的語法正在逐漸演進。 目前,下列限制仍然有效:
因為此規則類型近乎即時,所以我們已將內建延遲降至最低 (兩分鐘)。
由於 NRT 規則會使用擷取時間,而不是事件產生時間 (由 TimeGenerated 欄位表示),因此您可以放心地忽略資料來源延遲和擷取時間延遲 (請參閱上述說明)。
查詢只能在單一工作區內執行。 沒有跨工作區執行的能力。
事件群組現在可設定為有限的程度。 NRT 規則最多可以產生 30 個單一事件警示。 具有導致超過 30 個事件之查詢的規則,會針對前 29 個事件產生警示,然後再產生會摘要說明所有適用事件的第 30 個警示。
在 NRT 規則中定義的查詢現在可以參考多個資料表。
下一步
在本文件中,您已了解 Microsoft Sentinel 中近乎即時 (NRT) 分析規則的運作方式。