在面臨安全性威脅時,時間和速度非常重要。 您必須意識到威脅的成形,才能快速分析並回應以遏制威脅。 Microsoft Sentinel 近乎即時 (NRT) 的分析規則可讓您更快速地偵測到威脅 (更接近內部部署 SIEM 的威脅偵測),並能夠縮短特定案例的回應時間。
Microsoft Sentinel 的近乎即時分析規則會提供現成可用的即時威脅偵測。 這種類型的規則旨在以一分鐘的間隔執行其查詢,以便能快速回應。
NRT 規則的運作方式
NRT 規則會硬式編碼為每分鐘執行一次,並擷取前一分鐘內插入的事件,盡可能提供最新的資訊。
不同於以內建的五分鐘延遲執行的定期排程規則,為考量擷取時間延遲,NRT 規則只會以兩分鐘的延遲執行,藉由查詢事件的擷取時間而非其在來源的產生時間 (TimeGenerated 欄位) 來解決擷取延遲問題。 這可改善偵測的頻率和正確性。 (若要更完整了解此問題,請參閱查詢排程和警示閾值和處理排程分析規則中的擷取延遲。)
NRT 規則有許多與排程分析規則相同的特性和功能。 完整的警示擴充集可供使用 - 您可以對應實體和呈現自訂詳細資料,也可以設定警示詳細資料的動態內容。 您可以選擇將警示分組為事件的方式,您可以在產生結果之後暫時隱藏查詢的執行,而且您可以定義要執行的自動化規則和劇本,以回應規則所產生的警示和事件。
目前,這些範本的應用有限 (如下所述),但科技會快速發展並成長。
考量
下列限制目前會控管 NRT 規則的使用:
目前每一客戶只能定義 50 個以內的規則。
根據設計,NRT 規則將只會對擷取延遲少於 12 小時的記錄來源正常運作。
(由於 NRT 規則類型應該為近似即時資料擷取,因此在記錄來源上使用 NRT 規則但有重大擷取延遲並無法為您帶來任何優勢,即使它遠少於 12 小時也一樣。)
這種規則的語法正在逐漸演進。 目前,下列限制仍然有效:
因為此規則類型近乎即時,所以我們已將內建延遲降至最低 (兩分鐘)。
由於 NRT 規則會使用擷取時間,而不是事件產生時間 (由 TimeGenerated 欄位表示),因此您可以放心地忽略資料來源延遲和擷取時間延遲 (請參閱上述說明)。
查詢現在可以跨多個工作區執行。
事件群組現在可設定為有限的程度。 NRT 規則最多可以產生 30 個單一事件警示。 具有導致超過 30 個事件之查詢的規則,會針對前 29 個事件產生警示,然後再產生會摘要說明所有適用事件的第 30 個警示。
在 NRT 規則中定義的查詢現在可以參考多個資料表。
下一步
在本文件中,您已了解 Microsoft Sentinel 中近乎即時 (NRT) 分析規則的運作方式。