通过 Microsoft Sentinel 中的准实时 (NRT) 分析规则实现快速威胁检测

当你遇到安全威胁时,时间和速度至关重要。 当威胁突然出现时,你需要了解它们,以便能够快速分析和响应以遏制它们。 Microsoft Sentinel 的准实时 (NRT) 分析规则为你提供了更快的威胁检测(更接近于本地 SIEM 的检测),以及在特定场景中缩短响应时间的能力。

Microsoft Sentinel 的准实时分析规则提供开箱即用的最新威胁检测。 这种类型的规则被设计为高度响应,每隔一分钟就运行一次其查询。

NRT 规则的工作原理

NRT 规则已硬编码为每分钟运行一次,并捕获前一分钟引入的事件,以便提供尽可能最新的信息。

与按照内置五分钟延迟(考虑到引入滞后时间)运行的普通计划规则不同,NRT 规则仅按两分钟延迟运行,通过查询事件的引入时间而不是源上的生成时间(TimeGenerated 字段)来解决引入延迟问题。 这可以提高检测的频率和准确度。 (若要更全面地了解此问题,请参阅查询计划和警报阈值在计划分析规则中处理引入延迟。)

NRT 规则具有许多与计划分析规则相同的特性和功能。 提供了一整套警报扩充功能 — 可以映射实体并显示自定义详细信息,并且可为警报详细信息配置动态内容。 可以选择将警报分组到事件的方式,可以在查询生成结果后暂时禁止其运行,并且可以定义自动化规则和 playbook 以响应从规则生成的警报和事件。

目前,这些模板的应用范围有限(如下所述),但该技术正在快速演进和发展。

注意事项

以下限制目前控制着 NRT 规则的使用:

  • 目前,每个客户最多可以定义 50 个规则。

  • 根据设计,NRT 规则只对引入延迟小于 12 小时的日志源起作用。

    (由于 NRT 规则类型应该近似于实时数据引入,因此在具有明显引入延迟的日志源上使用 NRT 规则没有任何优势,即使引入延迟远小于 12 小时。)

  • 此类型规则的语法正在逐渐演变。 目前,以下限制仍然有效:

    • 由于此规则类型接近实时,因此我们已将内置延迟减至最小(两分钟)。

    • 由于 NRT 规则使用引入时间而不是事件生成时间(由 TimeGenerated 字段表示),因此你可以放心忽略数据源延迟和引入时间延迟(参阅上文)。

    • 查询只能在单个工作区中运行。 没有跨工作区功能。

    • 事件分组现在可以在一定程度上进行配置。 NRT 规则最多可以生成 30 个单事件警报。 具有查询结果超过 30 个事件的规则将为前 29 个事件生成警报,然后生成汇总所有适用事件的第 30 个警报。

    • NRT 规则中定义的查询现在可以引用多个表

后续步骤

在本文档中,你已了解准实时 (NRT) 分析规则在 Microsoft Sentinel 中的工作原理。