Arbeta med regler för identifieringsanalys nästan i realtid (NRT) i Microsoft Sentinel

Microsoft Sentinels analysregler i nära realtid ger en uppdaterad hotidentifiering. Den här typen av regel har utformats för att vara mycket dynamisk genom att köra frågan med intervall med bara en minuts mellanrum.

För närvarande har dessa mallar ett begränsat program enligt beskrivningen nedan, men tekniken utvecklas snabbt och växer.

Viktigt!

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Visa regler för nära realtid (NRT)

  1. I avsnittet Konfiguration på Microsoft Sentinel-navigeringsmenyn väljer du Analys.

  2. På skärmen Analys, med fliken Aktiva regler markerad, filtrerar du listan för NRT-mallar:

    1. Välj Lägg till filter och välj Regeltyp i listan med filter.

    2. I den resulterande listan väljer du NRT. Välj därefter Tillämpa.

Skapa NRT-regler

Du skapar NRT-regler på samma sätt som du skapar vanliga analysregler för schemalagda frågor:

  1. I avsnittet Konfiguration på Microsoft Sentinel-navigeringsmenyn väljer du Analys.

  2. I åtgärdsfältet längst upp väljer du +Skapa och väljer NRT-frågeregel. Då öppnas guiden Analysregel.

    Skärmbild som visar hur du skapar en ny NRT-regel.

  1. Följ anvisningarna i guiden för analysregler.

    Konfigurationen av NRT-regler är på de flesta sätt densamma som för schemalagda analysregler.

    • Du kan referera till flera tabeller och visningslistor i din frågelogik.

    • Du kan använda alla metoder för aviseringsberikning: entitetsmappning, anpassad information och aviseringsinformation.

    • Du kan välja hur aviseringar ska grupperas i incidenter och att ignorera en fråga när ett visst resultat har genererats.

    • Du kan automatisera svar på både aviseringar och incidenter.

    På grund av nrt-reglernas art och begränsningar är dock följande funktioner i schemalagda analysregler inte tillgängliga i guiden:

    • Det går inte att konfigurera frågeschemaläggning eftersom frågor automatiskt schemaläggs att köras en gång per minut med en återställningsperiod på en minut.
    • Aviseringströskelvärdet är irrelevant eftersom en avisering alltid genereras.
    • Konfiguration av händelsegruppering är nu tillgänglig i begränsad utsträckning. Du kan välja att en NRT-regel ska generera en avisering för varje händelse för upp till 30 händelser. Om du väljer det här alternativet och regeln resulterar i fler än 30 händelser genereras aviseringar för en enskild händelse för de första 29 händelserna, och en 30:e avisering sammanfattar alla händelser i resultatuppsättningen.

    Dessutom har själva frågan följande krav:

    • Du kan inte köra frågan mellan arbetsytor.

    • På grund av storleksgränserna för aviseringarna bör din fråga använda project instruktioner för att endast inkludera de nödvändiga fälten från tabellen. Annars kan den information som du vill visa bli trunkerad.

Nästa steg

I det här dokumentet har du lärt dig hur du skapar analysregler nästan i realtid (NRT) i Microsoft Sentinel.