在 Microsoft Sentinel 中使用准实时 (NRT) 检测分析规则

项目
05/10/2024
适用于:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 的准实时分析规则提供开箱即用的最新威胁检测。这种类型的规则被设计为高度响应，每隔一分钟就运行一次其查询。

目前，这些模板的应用范围有限（如下所述），但该技术正在快速演进和发展。

查看准实时 (NRT) 规则

从 Microsoft Sentinel 导航菜单的“配置”部分选择“分析”。
在“分析”屏幕上，选择“活动规则”选项卡后，筛选“NRT”模板列表：
1. 选择“添加筛选器”，并从筛选器列表中选择规则类型。
2. 从生成的列表中选择“NRT”。然后，选择应用。

创建 NRT 规则

创建 NRT 规则的方式与创建普通计划查询分析规则的方式相同：

从 Microsoft Sentinel 导航菜单的“配置”部分选择“分析”。
在顶部的操作栏中，选择“+创建”，然后选择“NRT 查询规则”。这样会打开“分析规则向导”。
按照分析规则向导的说明进行操作。

NRT 规则的配置基本上与计划分析规则的配置相同。
- 可以在查询逻辑中引用多个表和监视列表。
- 可以使用所有警报扩充方法：实体映射、自定义详细信息和警报详细信息。
- 可以选择如何将警报分组为事件，以及在生成特定结果后抑制查询。
- 可以自动响应警报和事件。
但是，由于 NRT 规则的性质和限制，向导中不提供计划分析规则的以下特性：
- 查询计划不可配置，因为查询会自动计划为每分钟运行一次，回溯期为一分钟。
- 警报阈值无关紧要，因为始终会生成警报。
- “事件分组”配置当前使用范围有限。可选择设置 NRT 规则，使其为每个事件（最多 30 个事件）生成警报。如果选择此选项，规则的结果超过 30 个事件时，会为前 29 个事件生成单事件警报，第 30 个警报将汇总结果集中的所有事件。
此外，查询本身还具有以下要求：
- 不能跨工作区运行查询。
- 由于警报的大小限制，查询应使用 project 语句来仅包含表中的必要字段。否则，你想要显示的信息最终可能会截断。

后续步骤

在本文档中，你学习了如何在 Microsoft Sentinel 中创建准实时 (NRT) 分析规则。

详细了解 Microsoft Sentinel 中的准实时 (NRT) 分析规则。
浏览其他分析规则类型。