Deteção rápida de ameaças com regras de análise quase em tempo real (NRT) no Microsoft Sentinel
Quando você se depara com ameaças à segurança, o tempo e a velocidade são essenciais. Você precisa estar ciente das ameaças à medida que elas se materializam para que possa analisar e responder rapidamente para contê-las. As regras de análise quase em tempo real (NRT) do Microsoft Sentinel oferecem uma deteção de ameaças mais rápida — mais próxima da de um SIEM local — e a capacidade de reduzir os tempos de resposta em cenários específicos.
As regras de análise quase em tempo real do Microsoft Sentinel fornecem deteção de ameaças atualizada e pronta para uso. Esse tipo de regra foi projetado para ser altamente responsivo, executando sua consulta em intervalos de apenas um minuto de intervalo.
Como funcionam as regras NRT
As regras NRT são codificadas para serem executadas uma vez a cada minuto e capturar eventos ingeridos no minuto anterior, para fornecer informações o mais atualizadas possível.
Ao contrário das regras regulares agendadas que são executadas em um atraso interno de cinco minutos para levar em conta o atraso de tempo de ingestão, as regras NRT são executadas com apenas dois minutos de atraso, resolvendo o problema do atraso de ingestão consultando o tempo de ingestão dos eventos em vez do tempo de geração na origem (o campo TimeGerado). Isso resulta em melhorias de frequência e precisão em suas deteções. (Para compreender esta questão de forma mais completa, consulte Agendamento de consultas e limite de alerta e Manipular atraso de ingestão em regras de análise agendada.)
As regras NRT têm muitos dos mesmos recursos e capacidades que as regras de análise agendada. O conjunto completo de recursos de enriquecimento de alertas está disponível — você pode mapear entidades e detalhes personalizados de superfície e configurar conteúdo dinâmico para detalhes de alerta. Você pode escolher como os alertas são agrupados em incidentes, pode suprimir temporariamente a execução de uma consulta depois que ela gera um resultado e pode definir regras de automação e playbooks para serem executados em resposta a alertas e incidentes gerados a partir da regra.
Por enquanto, esses modelos têm aplicação limitada, conforme descrito abaixo, mas a tecnologia está evoluindo e crescendo rapidamente.
Considerações
Atualmente, as seguintes limitações regem o uso das regras NRT:
Neste momento, não é possível definir mais de 50 regras por cliente.
Por design, as regras NRT só funcionarão corretamente em fontes de log com um atraso de ingestão inferior a 12 horas.
(Como o tipo de regra NRT deve aproximar a ingestão de dados em tempo real, não oferece nenhuma vantagem em usar regras NRT em fontes de log com atraso de ingestão significativo, mesmo que seja muito inferior a 12 horas.)
A sintaxe para este tipo de regra está a evoluir gradualmente. Neste momento, mantêm-se em vigor as seguintes limitações:
Como este tipo de regra é quase em tempo real, reduzimos o atraso incorporado para um valor mínimo (dois minutos).
Uma vez que as regras NRT utilizam o tempo de ingestão em vez do tempo de geração de eventos (representado pelo campo TimeGenerated), pode ignorar com segurança o atraso da origem de dados e a latência do tempo de ingestão (veja acima).
As consultas só podem ser executadas numa única área de trabalho. Não há capacidade para várias áreas de trabalho.
O agrupamento de eventos agora é configurável em um grau limitado. As regras NRT podem produzir até 30 alertas de evento único. Uma regra com uma consulta que resulta em mais de 30 eventos produzirá alertas para os primeiros 29 e, em seguida, um 30º alerta que resume todos os eventos aplicáveis.
As consultas definidas em uma regra NRT agora podem fazer referência a mais de uma tabela.
Próximos passos
Neste documento, você aprendeu como as regras de análise quase em tempo real (NRT) funcionam no Microsoft Sentinel.
- Saiba como criar regras NRT.
- Saiba mais sobre outros tipos de regras de análise.