Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Når du står over for sikkerhedstrusler, er tid og hastighed af afgørende betydning. Du skal være opmærksom på trusler, efterhånden som de materialiseres, så du kan analysere og reagere hurtigt for at indeholde dem. Microsoft Sentinel's NRT-analyseregler (near-real-time) giver dig hurtigere trusselsregistrering – tættere på en SIEM i det lokale miljø – og muligheden for at forkorte svartiderne i bestemte scenarier.
Microsoft Sentinel's analyseregler i nærheden af realtid leverer opdateret trusselsregistrering, der er i brug. Denne type regel er designet til at være meget dynamisk ved at køre forespørgslen med intervaller, der kun er ét minut fra hinanden.
Sådan fungerer NRT-regler
NRT-regler er hard-coded til at køre én gang hvert minut og registrere hændelser, der er indtaget i det foregående minut, for at give dig oplysninger så up-to-the-minute som muligt.
I modsætning til almindelige planlagte regler, der kører på en indbygget fem minutters forsinkelse for at tage højde for forsinkelse i indtagelsestiden, kører NRT-regler kun på en to minutters forsinkelse og løser problemet med indtagelsesforsinkelse ved at forespørge på hændelsernes indtagelsestid i stedet for deres genereringstid ved kilden (feltet TimeGenerated). Dette resulterer i forbedringer af både hyppighed og nøjagtighed i dine registreringer. (Hvis du vil have mere at vide om dette problem, skal du se Grænse for forespørgselsplanlægning og beskedtærskel og Håndtering af indtagelsesforskydning i planlagte analyseregler).
NRT-regler har mange af de samme funktioner og egenskaber som planlagte analyseregler. Det fulde sæt funktioner til forbedring af beskeder er tilgængelige . Du kan tilknytte objekter og vise brugerdefinerede oplysninger, og du kan konfigurere dynamisk indhold for beskedoplysninger. Du kan vælge, hvordan beskeder grupperes i hændelser, du kan midlertidigt undertrykke kørslen af en forespørgsel, når den genererer et resultat, og du kan definere automatiseringsregler og playbooks, der skal køres som svar på beskeder og hændelser, der genereres ud fra reglen.
I øjeblikket har disse skabeloner begrænset anvendelse som beskrevet nedenfor, men teknologien udvikler sig hurtigt og vokser.
Overvejelser
Følgende begrænsninger styrer i øjeblikket brugen af NRT-regler:
Der kan ikke defineres mere end 50 regler pr. kunde på nuværende tidspunkt.
NRT-regler fungerer tilsigtet kun korrekt på logkilder med en indtagelsesforsinkelse på mindre end 12 timer.
(Da NRT-regeltypen skal omtrentlige dataindtagelse i realtid, giver det dig ikke nogen fordel at bruge NRT-regler på logkilder med betydelig indtagelsesforsinkelse, selvom det er langt mindre end 12 timer).)
Syntaksen for denne type regel udvikler sig gradvist. På nuværende tidspunkt gælder følgende begrænsninger:
Da denne regeltype er i næsten realtid, har vi reduceret den indbyggede forsinkelse til et minimum (to minutter).
Da NRT-regler bruger indtagelsestiden i stedet for tidspunktet for oprettelse af hændelsen (repræsenteret af feltet TimeGenerated), kan du trygt ignorere forsinkelsen af datakilden og ventetiden for indtagelse (se ovenfor).
Forespørgsler kan nu køre på tværs af flere arbejdsområder.
Hændelsesgruppering kan nu konfigureres i begrænset omfang. NRT-regler kan producere op til 30 enkelthændelsesbeskeder. En regel med en forespørgsel, der resulterer i mere end 30 hændelser, opretter beskeder for de første 29 og derefter en 30. besked, der opsummerer alle de relevante hændelser.
Forespørgsler, der er defineret i en NRT-regel, kan nu referere til mere end én tabel.
Næste trin
I dette dokument har du lært, hvordan NRT-analyseregler (near-real-time) fungerer i Microsoft Sentinel.
- Få mere at vide om, hvordan du opretter NRT-regler.
- Få mere at vide om andre typer analyseregler.