Compartir a través de

通过 Microsoft Sentinel 中的准实时 (NRT) 分析规则实现快速威胁检测

当你遇到安全威胁时,时间和速度至关重要。 当威胁突然出现时,你需要了解它们,以便能够快速分析和响应以遏制它们。 Microsoft Sentinel 的准实时 (NRT) 分析规则为你提供了更快的威胁检测(更接近于本地 SIEM 的检测),以及在特定场景中缩短响应时间的能力。

Microsoft Sentinel 的准实时分析规则提供开箱即用的最新威胁检测。 这种类型的规则被设计为高度响应,每隔一分钟就运行一次其查询。

NRT 规则的工作原理

NRT 规则已硬编码为每分钟运行一次,并捕获前一分钟引入的事件,以便提供尽可能最新的信息。

与按照内置五分钟延迟(考虑到引入滞后时间)运行的普通计划规则不同,NRT 规则仅按两分钟延迟运行,通过查询事件的引入时间而不是源上的生成时间(TimeGenerated 字段)来解决引入延迟问题。 这可以提高检测的频率和准确度。 (若要更全面地了解此问题,请参阅查询计划和警报阈值在计划分析规则中处理引入延迟。)

NRT 规则具有许多与计划分析规则相同的特性和功能。 提供了一整套警报扩充功能 — 可以映射实体并显示自定义详细信息,并且可为警报详细信息配置动态内容。 可以选择将警报分组到事件的方式,可以在查询生成结果后暂时禁止其运行,并且可以定义自动化规则和 playbook 以响应从规则生成的警报和事件。

目前,这些模板的应用范围有限(如下所述),但该技术正在快速演进和发展。

注意事项

以下限制目前控制着 NRT 规则的使用:

  • 目前,每个客户最多可以定义 50 个规则。

  • 根据设计,NRT 规则只对引入延迟小于 12 小时的日志源起作用。

    (由于 NRT 规则类型应该近似于实时数据引入,因此在具有明显引入延迟的日志源上使用 NRT 规则没有任何优势,即使引入延迟远小于 12 小时。)

  • 此类型规则的语法正在逐渐演变。 目前,以下限制仍然有效:

    • 由于此规则类型接近实时,因此我们已将内置延迟减至最小(两分钟)。

    • 由于 NRT 规则使用引入时间而不是事件生成时间(由 TimeGenerated 字段表示),因此你可以放心忽略数据源延迟和引入时间延迟(参阅上文)。

    • 查询只能在单个工作区中运行。 没有跨工作区功能。

    • 事件分组现在可以在一定程度上进行配置。 NRT 规则最多可以生成 30 个单事件警报。 具有查询结果超过 30 个事件的规则将为前 29 个事件生成警报,然后生成汇总所有适用事件的第 30 个警报。

    • NRT 规则中定义的查询现在可以引用多个表

后续步骤

在本文档中,你已了解准实时 (NRT) 分析规则在 Microsoft Sentinel 中的工作原理。