在 Microsoft Sentinel 中使用准实时 (NRT) 检测分析规则

Microsoft Sentinel 的准实时分析规则提供开箱即用的最新威胁检测。 这种类型的规则被设计为高度响应,每隔一分钟就运行一次其查询。

目前,这些模板的应用范围有限(如下所述),但该技术正在快速演进和发展。

查看准实时 (NRT) 规则

  1. 从 Microsoft Sentinel 导航菜单的“配置”部分选择“分析”。

  2. 在“分析”屏幕上,选择“活动规则”选项卡后,筛选“NRT”模板列表:

    1. 选择“添加筛选器”,并从筛选器列表中选择规则类型。

    2. 从生成的列表中选择“NRT”。 然后,选择应用

创建 NRT 规则

创建 NRT 规则的方式与创建普通计划查询分析规则的方式相同:

  1. 从 Microsoft Sentinel 导航菜单的“配置”部分选择“分析”。

  2. 在顶部的操作栏中,选择“+创建”,然后选择“NRT 查询规则”。 这样会打开“分析规则向导”。

    屏幕截图显示如何创建新的 NRT 规则。

  3. 按照分析规则向导的说明进行操作。

    NRT 规则的配置基本上与计划分析规则的配置相同。

    但是,由于 NRT 规则的性质和限制,向导中不提供计划分析规则的以下特性:

    • 查询计划不可配置,因为查询会自动计划为每分钟运行一次,回溯期为一分钟。
    • 警报阈值无关紧要,因为始终会生成警报。
    • “事件分组”配置当前使用范围有限。 可选择设置 NRT 规则,使其为每个事件(最多 30 个事件)生成警报。 如果选择此选项,规则的结果超过 30 个事件时,会为前 29 个事件生成单事件警报,第 30 个警报将汇总结果集中的所有事件。

    此外,查询本身还具有以下要求:

    • 不能跨工作区运行查询。

    • 由于警报的大小限制,查询应使用 project 语句来仅包含表中的必要字段。 否则,你想要显示的信息最终可能会截断。

后续步骤

在本文档中,你学习了如何在 Microsoft Sentinel 中创建准实时 (NRT) 分析规则。