Usare regole di analisi di rilevamento in tempo quasi reale (NRT) in Microsoft Sentinel

Le regole di analisi in tempo quasi reale di Microsoft Sentinel offrono funzionalità predefinite per il rilevamento delle minacce al minuto. Questo tipo di regola è stato progettato per essere altamente reattivo eseguendo la query a intervalli di un minuto.

Per il momento, questi modelli hanno un'applicazione limitata come descritto di seguito, ma la tecnologia è in rapida evoluzione e in crescita.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender, nella piattaforma operativa di sicurezza unificata. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Visualizzare le regole in tempo quasi reale (NRT)

  1. Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analytics.

  2. Nella schermata Analisi, con la scheda Regole attive selezionata, filtrare l'elenco per i modelli di NRT:

    1. Selezionare Aggiungi filtro e scegliere il Tipo di regola dall'elenco dei filtri.

    2. Nell'elenco risultante, selezionare NRT. Quindi seleziona Applica.

Creare regole NRT

Le regole NRT vengono create allo stesso modo in cui si creano regole comuni di analisi delle query pianificate:

  1. Nella sezione Configurazione del menu di spostamento di Microsoft Sentinel selezionare Analytics.

  2. Nella barra delle azioni in alto, selezionare +Crea e selezionare Regola di query NRT. Verrà aperta la procedura guidata per la regola di analisi.

    Screenshot che mostra come creare una nuova regola NRT.

  1. Seguire le istruzioni della procedura guidata per le regole di analisi.

    La configurazione delle regole NRT è la stessa delle regole di analisi pianificate.

    • È possibile fare riferimento a più tabelle e watchlist nella logica di query.

    • È possibile usare tutti i metodi di arricchimento degli avvisi: mapping dell'entità, dettagli personalizzati e dettagli degli avvisi.

    • È possibile scegliere come raggruppare gli avvisi in incidenti ed eliminare una query quando è stato generato un determinato risultato.

    • È possibile automatizzare le risposte sia agli avvisi che agli incidenti.

    A causa della natura e delle limitazioni delle regole NRT, tuttavia, le funzionalità seguenti delle regole di analisi pianificate non saranno disponibili nella procedura guidata:

    • La pianificazione delle query non è configurabile, poiché le query vengono pianificate automaticamente per l'esecuzione una volta al minuto con un periodo di lookback di un minuto.
    • La soglia di avviso è irrilevante, perché viene sempre generato un avviso.
    • La configurazione del raggruppamento di eventi è ora disponibile per un livello limitato. È possibile scegliere di avere una regola NRT per generare un avviso per ogni evento per un massimo di 30 eventi. Se si sceglie questa opzione e la regola genera più di 30 eventi, verranno generati avvisi a evento singolo per i primi 29 eventi e un 30° avviso riepilogherà tutti gli eventi nel set di risultati.

    Inoltre, la query stessa presenta i requisiti seguenti:

    • Non è possibile eseguire la query tra aree di lavoro.

    • A causa dei limiti di dimensioni degli avvisi, la query deve usare project istruzioni per includere solo i campi necessari della tabella. In caso contrario, le informazioni da visualizzare potrebbero risultare incomplete.

Passaggi successivi

In questo documento si è appreso come creare regole di analisi quasi in tempo reale (NRT) in Microsoft Sentinel.