Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt
Anpassade identifieringar är nu det bästa sättet att skapa nya regler i Microsoft Sentinel SIEM-Microsoft Defender XDR. Med anpassade identifieringar kan du minska kostnaderna för inmatning, få obegränsade identifieringar i realtid och dra nytta av sömlös integrering med Defender XDR data, funktioner och reparationsåtgärder med automatisk entitetsmappning. Mer information finns i den här bloggen.
Microsoft Sentinel är nästan realtidsanalysregler som ger den senaste hotidentifieringen. Den här typen av regel har utformats för att vara mycket responsiv genom att köra frågan med intervall med bara en minuts mellanrum.
För närvarande har dessa mallar ett begränsat program enligt beskrivningen nedan, men tekniken utvecklas och växer snabbt.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Visa NRT-regler (near-real-time)
Från navigeringsmenyn Microsoft Defender expanderar du Microsoft Sentinel och sedan Konfiguration. Välj Analys.
På skärmen Analys , med fliken Aktiva regler markerad, filtrerar du listan för NRT-mallar :
Välj Lägg till filter och välj Regeltyp i listan över filter.
I den resulterande listan väljer du NRT. Välj sedan Använd.
Skapa NRT-regler
Du skapar NRT-regler på samma sätt som du skapar vanliga analysregler för schemalagda frågor:
Från navigeringsmenyn Microsoft Defender expanderar du Microsoft Sentinel och sedan Konfiguration. Välj Analys.
I åtgärdsfältet överst i rutnätet väljer du +Skapa och väljer NRT-frågeregel. Då öppnas guiden Analytics-regel.
Följ anvisningarna i guiden för analysregler.
Konfigurationen av NRT-regler är på de flesta sätt samma som för schemalagda analysregler.
Du kan referera till flera tabeller och visningslistor i din frågelogik.
Du kan använda alla metoder för aviseringsberikning: entitetsmappning, anpassad information och aviseringsinformation.
Du kan välja hur du vill gruppera aviseringar i incidenter och förhindra en fråga när ett visst resultat har genererats.
Du kan automatisera svar på både aviseringar och incidenter.
Du kan köra regelfrågan på flera arbetsytor.
På grund av nrt-reglernas natur och begränsningar är dock följande funktioner i schemalagda analysregler inte tillgängliga i guiden:
- Det går inte att konfigurera frågeschemaläggning eftersom frågor automatiskt schemaläggs att köras en gång per minut med en återblicksperiod på en minut.
- Tröskelvärdet för aviseringar är irrelevant eftersom en avisering alltid genereras.
- Konfiguration av händelsegruppering är nu tillgänglig i begränsad utsträckning. Du kan välja att en NRT-regel ska generera en avisering för varje händelse för upp till 30 händelser. Om du väljer det här alternativet och regeln resulterar i fler än 30 händelser genereras aviseringar för en enskild händelse för de första 29 händelserna, och en 30:e avisering sammanfattar alla händelser i resultatuppsättningen.
På grund av aviseringarnas storleksgränser bör frågan dessutom använda
projectinstruktioner för att endast inkludera de nödvändiga fälten från tabellen. Annars kan den information som du vill visa trunkeras.
Nästa steg
I det här dokumentet har du lärt dig hur du skapar NRT-analysregler (near-real-time) i Microsoft Sentinel.
- Läs mer om NRT-analysregler (near-real-time) i Microsoft Sentinel.
- Utforska andra typer av analysregler.