Håndter indtagelsesforsinkelse i planlagte analyseregler

Vigtigt!

Brugerdefinerede registreringer er nu den bedste måde at oprette nye regler på tværs af Microsoft Sentinel SIEM-Microsoft Defender XDR. Med brugerdefinerede registreringer kan du reducere omkostningerne til indtagelse, få ubegrænsede registreringer i realtid og drage fordel af problemfri integration med Defender XDR data, funktioner og afhjælpningshandlinger med automatisk enhedstilknytning. Du kan få flere oplysninger ved at læse denne blog.

Selvom Microsoft Sentinel kan indtage data fra forskellige kilder, kan indtagelsestiden for hver datakilde variere under forskellige omstændigheder.

I denne artikel beskrives det, hvordan indtagelsesforsinkelse kan påvirke dine planlagte analyseregler, og hvordan du kan løse dem for at dække disse huller.

Hvorfor forsinkelsen er væsentlig

Du kan f.eks. skrive en brugerdefineret registreringsregel og angive forespørgslen Kør for alle og Opslagsdata fra de sidste felter for at få reglen til at køre hvert femte minut og slå data op fra de sidste fem minutter:

Skærmbillede, der viser guiden Analyseregel – opret nyt regelvindue.

Opslagsdataene fra det sidste felt definerer en indstilling, der kaldes en tilbagesøgningsperiode. Ideelt set, når der ikke er nogen forsinkelse, går denne registrering glip af nogen hændelser, som vist i følgende diagram:

Diagram, der viser et fem minutters tilbagebliksvindue.

Hændelsen ankommer, efterhånden som den genereres, og den er inkluderet i lookback-perioden .

Antag nu, at der er en forsinkelse for din datakilde. Lad os i dette eksempel antage, at hændelsen blev indtagelse to minutter efter, at den blev genereret. Forsinkelsen er to minutter:

Diagram, der viser 5-minutters tilbagebliksvinduer med en forsinkelse på to minutter.

Hændelsen genereres inden for den første tilbage søgeperiode, men den indtages ikke i dit Microsoft Sentinel arbejdsområde under den første kørsel. Næste gang den planlagte forespørgsel kører, indtager den hændelsen, men det tidsoprettede filter fjerner hændelsen, fordi den skete for mere end fem minutter siden. I dette tilfælde affyrer reglen ikke en besked.

Sådan håndterer du forsinkelse

Bemærk!

Du kan enten løse problemet ved hjælp af den proces, der er beskrevet nedenfor, eller implementere Microsoft Sentinel's NRT-regler (near-real-time detection). Du kan finde flere oplysninger under Registrer trusler hurtigt med REGLER for NRT-analyser (near-real-time) i Microsoft Sentinel.

Hvis du vil løse problemet, skal du kende forsinkelsen for din datatype. I dette eksempel ved du allerede, at forsinkelsen er to minutter.

For dine egne data kan du forstå forsinkelse ved hjælp af funktionen Kusto ingestion_time() og beregne forskellen mellem TimeGenerated og indtagelsestiden. Du kan få flere oplysninger under Beregn forsinkelse ved indtagelse.

Når du har bestemt forsinkelsen, kan du løse problemet på følgende måde:

  • Forøg tilbagesøgt periode. Basisforbindelser fortæller dig, at en forøgelse af look-back-periodens størrelse vil hjælpe. Da din look-back-periode er fem minutter, og din forsinkelse er to minutter, kan du løse problemet ved at angive perioden for tilbageseelse til syv minutter. I dine regelindstillinger:

    Skærmbillede, der viser angivelse af søgevinduet til syv minutter.

    I følgende diagram kan du se, hvordan look-pack-perioden nu indeholder den mistede hændelse:

    Diagram, der viser syv minutters tilbagebliksvinduer med en forsinkelse på to minutter.

  • Håndter duplikering. Hvis du kun øger søgeperioden, kan det medføre duplikering, fordi opslagsvinduerne nu overlapper hinanden. En anden hændelse kan f.eks. se ud som vist i følgende diagram:

    Diagram, der viser, hvordan overlappende opslagsvinduer opretter duplikering.

    Da værdien TimeGenerated for hændelsen findes i begge tilbageslagsperioder, udløser hændelsen to beskeder. Du skal finde en måde at løse duplikering på.

  • Knyt hændelsen til en bestemt tilbagetjeksperiode. I det første eksempel gik du glip af hændelser, fordi dine data ikke blev indtaget, da den planlagte forespørgsel kørte. Du har udvidet udseendet til at omfatte hændelsen, men det medførte duplikering. Du skal knytte hændelsen til det vindue, du udvidede for at indeholde den.

    Gør dette ved at angive ingestion_time() > ago(5m)i stedet for den oprindelige regel look-back = 5m. Denne indstilling knytter hændelsen til det første opslagsvindue. Det kan f.eks. være:

    Diagram, der viser, hvordan duplikering undgås ved angivelse af begrænsningen for siden.

    Tidsbegrænsningen for indtagelse trimmer nu de ekstra to minutter, du har føjet til look-back-perioden. Og i det første eksempel registrerer den anden tilbageløbsperiode nu hændelsen:

    Diagram, der viser, hvordan indstillingen af begrænsningen for siden registrerer hændelsen.

I følgende eksempelforespørgsel opsummeres løsningen til løsning af problemer med indtagelsesforsinkelse:

let ingestion_delay = 2min;
let rule_look_back = 5min;
CommonSecurityLog
| where TimeGenerated >= ago(ingestion_delay + rule_look_back)
| where ingestion_time() > ago(rule_look_back)

Du kan få flere oplysninger om følgende elementer i det foregående eksempel i dokumentationen til Kusto:

Beregn indtagelsesforsinkelse

Som standard er Microsoft Sentinel planlagte påmindelsesregler konfigureret til at have en 5-minutters tilbagebliksperiode. Hver datakilde kan dog have sin egen individuelle indtagelsesforsinkelse. Når du tilmelder dig flere datatyper, skal du forstå de forskellige forsinkelser for hver datatype for at kunne konfigurere tilbageseperioden korrekt.

Forbrugsrapporten for arbejdsområdet, der leveres i Microsoft Sentinel klar til brug, indeholder et dashboard, der viser ventetid og forsinkelser for de forskellige datatyper, der overføres til dit arbejdsområde.

Det kan f.eks. være:

Skærmbillede af forbrugsrapporten for arbejdsområdet, der viser ventetiden slut til slut efter tabel

Næste trin

Du kan finde flere oplysninger under:

  • Last updated on