Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Aangepaste detecties is nu de beste manier om nieuwe regels te maken in Microsoft Sentinel SIEM-Microsoft Defender XDR. Met aangepaste detecties kunt u de opnamekosten verlagen, onbeperkte realtime detecties krijgen en profiteren van naadloze integratie met Defender XDR gegevens, functies en herstelacties met automatische entiteitstoewijzing. Lees dit blog voor meer informatie.
Hoewel Microsoft Sentinel gegevens uit verschillende bronnen kunt opnemen, kan de opnametijd voor elke gegevensbron in verschillende omstandigheden verschillen.
In dit artikel wordt beschreven hoe opnamevertraging van invloed kan zijn op uw geplande analyseregels en hoe u deze kunt oplossen om deze hiaten te dichten.
Waarom vertraging aanzienlijk is
U kunt bijvoorbeeld een aangepaste detectieregel schrijven, waarbij u de query elke uitvoeren en Gegevens uit de laatste velden opzoekt om de regel elke vijf minuten uit te voeren, waarbij gegevens van de afgelopen vijf minuten worden opgezoekd:
Met de opzoekgegevens uit het laatste veld wordt een instelling gedefinieerd die een terugkijkperiode wordt genoemd. Als er geen vertraging is, mist deze detectie in het ideale gevallen geen gebeurtenissen, zoals wordt weergegeven in het volgende diagram:
De gebeurtenis komt binnen wanneer deze wordt gegenereerd en is opgenomen in de lookbackperiode .
Stel nu dat er enige vertraging is voor uw gegevensbron. In dit voorbeeld is de gebeurtenis twee minuten nadat deze is gegenereerdopgenomen. De vertraging is twee minuten:
De gebeurtenis wordt gegenereerd binnen de eerste terugblikperiode, maar wordt niet opgenomen in uw Microsoft Sentinel werkruimte bij de eerste uitvoering. De volgende keer dat de geplande query wordt uitgevoerd, wordt de gebeurtenis opgenomen, maar het tijdgegenereerde filter verwijdert de gebeurtenis omdat deze meer dan vijf minuten geleden heeft plaatsgevonden. In dit geval wordt met de regel geen waarschuwing geactiveerd.
Vertraging afhandelen
Opmerking
U kunt het probleem oplossen met behulp van het proces dat hieronder wordt beschreven of de nrt-regels (near-real-time detection) van Microsoft Sentinel implementeren. Zie Bedreigingen snel detecteren met nrt-analyseregels (near-real-time) in Microsoft Sentinel voor meer informatie.
Om het probleem op te lossen, moet u weten wat de vertraging is voor uw gegevenstype. In dit voorbeeld weet u al dat de vertraging twee minuten is.
Voor uw eigen gegevens kunt u vertraging begrijpen met behulp van de functie Kusto ingestion_time() en het verschil berekenen tussen TimeGenerated en de opnametijd. Zie Opnamevertraging berekenen voor meer informatie.
Nadat u de vertraging hebt vastgesteld, kunt u het probleem als volgt oplossen:
De terugblikperiode verhogen. Eenvoudige intuïtie vertelt je dat het vergroten van de terugblikperiode helpt. Aangezien uw terugblikperiode vijf minuten is en uw vertraging twee minuten is, kunt u dit probleem oplossen door de terugblikperiode in te stellen op zeven minuten. Bijvoorbeeld in uw regelinstellingen:
In het volgende diagram ziet u hoe de look-pack-periode nu de gemiste gebeurtenis bevat:
Dubbel werk af. Alleen het verhogen van de terugkijkperiode kan duplicatie creëren, omdat de terugkijkvensters elkaar nu overlappen. Een andere gebeurtenis kan er bijvoorbeeld uitzien zoals wordt weergegeven in het volgende diagram:
Omdat de waarde timeGenerated van de gebeurtenis in beide terugblikperioden wordt gevonden, worden met de gebeurtenis twee waarschuwingen geactiveerd. U moet een manier vinden om de duplicatie op te lossen.
Koppel de gebeurtenis aan een specifieke terugblikperiode. In het eerste voorbeeld hebt u gebeurtenissen gemist omdat uw gegevens niet zijn opgenomen toen de geplande query werd uitgevoerd. U hebt de terugblik uitgebreid met de gebeurtenis, maar dit heeft duplicatie veroorzaakt. U moet de gebeurtenis koppelen aan het venster dat u hebt uitgebreid om deze te bevatten.
Doe dit door in te stellen
ingestion_time() > ago(5m)in plaats van de oorspronkelijke regellook-back = 5m. Met deze instelling wordt de gebeurtenis gekoppeld aan het eerste terugblikvenster. Bijvoorbeeld:
De beperking voor opnametijd beperkt nu de extra twee minuten die u aan de terugblikperiode hebt toegevoegd. En voor het eerste voorbeeld legt de tweede terugkijkperiode nu de gebeurtenis vast:
De volgende voorbeeldquery geeft een overzicht van de oplossing voor het oplossen van problemen met vertraging bij opname:
let ingestion_delay = 2min;
let rule_look_back = 5min;
CommonSecurityLog
| where TimeGenerated >= ago(ingestion_delay + rule_look_back)
| where ingestion_time() > ago(rule_look_back)
Zie de Kusto-documentatie voor meer informatie over de volgende items die in het vorige voorbeeld worden gebruikt:
Opnamevertraging berekenen
Standaard zijn Microsoft Sentinel geplande waarschuwingsregels geconfigureerd voor een terugblikperiode van 5 minuten. Elke gegevensbron kan echter een eigen, afzonderlijke opnamevertraging hebben. Wanneer u meerdere gegevenstypen wilt samenvoegen, moet u de verschillende vertragingen voor elk gegevenstype begrijpen om de terugkijkperiode correct te configureren.
Het werkruimtegebruiksrapport, dat wordt geleverd in Microsoft Sentinel out-of-the-box, bevat een dashboard met latentie en vertragingen voor de verschillende gegevenstypen die uw werkruimte binnenkomen.
Bijvoorbeeld:
Volgende stappen
Zie voor meer informatie: