Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Aangepaste detecties is nu de beste manier om nieuwe regels te maken in Microsoft Sentinel SIEM-Microsoft Defender XDR. Met aangepaste detecties kunt u de opnamekosten verlagen, onbeperkte realtime detecties krijgen en profiteren van naadloze integratie met Defender XDR gegevens, functies en herstelacties met automatische entiteitstoewijzing. Lees dit blog voor meer informatie.
Microsoft Sentinel's regels voor bijna realtime-analyse bieden actuele detectie van bedreigingen. Dit type regel is ontworpen om zeer responsief te zijn door de query uit te voeren met intervallen van slechts één minuut van elkaar.
Voorlopig zijn deze sjablonen beperkt van toepassing, zoals hieronder wordt beschreven, maar de technologie ontwikkelt zich snel en groeit.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Regels voor bijna realtime (NRT) weergeven
Vouw in het navigatiemenu Microsoft Defender Microsoft Sentinel uit en vervolgens Configuratie. Selecteer Analyse.
Filter in het scherm Analyse met het tabblad Actieve regels geselecteerd de lijst op NRT-sjablonen :
Selecteer Filter toevoegen en kies Regeltype in de lijst met filters.
Selecteer NRT in de resulterende lijst. Selecteer vervolgens Toepassen.
NRT-regels maken
U maakt NRT-regels op dezelfde manier als u normale analyseregels voor geplande query's maakt:
Vouw in het navigatiemenu Microsoft Defender Microsoft Sentinel uit en vervolgens Configuratie. Selecteer Analyse.
Selecteer in de actiebalk boven aan het raster de optie +Maken en selecteer NRT-queryregel. Hiermee opent u de wizard Analyseregel.
Volg de instructies van de wizard Analyseregel.
De configuratie van NRT-regels is in de meeste opzichten hetzelfde als die van geplande analyseregels.
U kunt verwijzen naar meerdere tabellen en volglijsten in uw querylogica.
U kunt alle waarschuwingsverrijkingsmethoden gebruiken: entiteitstoewijzing, aangepaste details en waarschuwingsdetails.
U kunt kiezen hoe u waarschuwingen groepeert in incidenten en hoe u een query wilt onderdrukken wanneer een bepaald resultaat is gegenereerd.
U kunt reacties op waarschuwingen en incidenten automatiseren.
U kunt de regelquery uitvoeren in meerdere werkruimten.
Vanwege de aard en beperkingen van NRT-regels zijn de volgende functies van geplande analyseregels echter niet beschikbaar in de wizard:
- Queryplanning is niet configureerbaar, omdat query's automatisch één keer per minuut worden uitgevoerd met een terugblikperiode van één minuut.
- Waarschuwingsdrempel is niet relevant, omdat er altijd een waarschuwing wordt gegenereerd.
- Configuratie van gebeurtenisgroepering is nu in beperkte mate beschikbaar. U kunt ervoor kiezen om een NRT-regel een waarschuwing te laten genereren voor elke gebeurtenis voor maximaal 30 gebeurtenissen. Als u deze optie kiest en de regel resulteert in meer dan 30 gebeurtenissen, worden er waarschuwingen voor één gebeurtenis gegenereerd voor de eerste 29 gebeurtenissen en worden alle gebeurtenissen in de resultatenset samengevat in een 30e waarschuwing.
Bovendien moet uw query vanwege de groottelimieten van de waarschuwingen gebruikmaken van
projectinstructies om alleen de benodigde velden uit uw tabel op te nemen. Anders kan de informatie die u wilt weergeven, uiteindelijk worden afgekapt.
Volgende stappen
In dit document hebt u geleerd hoe u nrt-analyseregels (near-real-time) maakt in Microsoft Sentinel.
- Meer informatie over nrt-analyseregels (near-real-time) in Microsoft Sentinel.
- Andere typen analyseregels verkennen.