Microsoft Sentinel'de neredeyse gerçek zamanlı (NRT) algılama analizi kurallarıyla çalışma

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel'in neredeyse gerçek zamanlı analiz kuralları , en güncel tehdit algılamayı kullanıma hazır bir şekilde sunar. Bu tür bir kural, sorgusunu yalnızca bir dakika arayla çalıştırarak yüksek oranda duyarlı olacak şekilde tasarlanmıştır.

Şimdilik, bu şablonlar aşağıda açıklandığı gibi sınırlı bir uygulamaya sahiptir, ancak teknoloji hızla gelişmekte ve büyümektedir.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Gerçek zamanlıya yakın (NRT) kuralları görüntüleme

  1. Microsoft Sentinel gezinti menüsünün Yapılandırma bölümünde Analiz'i seçin.

  2. Analiz ekranında Etkin kurallar sekmesi seçili durumdayken, NRT şablonları için listeyi filtreleyin:

    1. Filtre ekle'yi seçin ve filtre listesinden Kural türü'nü seçin.

    2. Sonuçta elde edilen listeden NRT'yi seçin. Ardından Uygula'yı seçin.

NRT kuralları oluşturma

NRT kurallarını, normal zamanlanmış sorgu analizi kurallarını oluşturduğunuz gibi oluşturursunuz:

  1. Microsoft Sentinel gezinti menüsünün Yapılandırma bölümünde Analiz'i seçin.

  2. Üstteki eylem çubuğunda +Oluştur'u ve ardından NRT sorgu kuralı'nı seçin. Bu işlem Analiz kuralı sihirbazını açar.

    Yeni NRT kuralının nasıl oluşturulacağını gösteren ekran görüntüsü.

  1. Analiz kuralı sihirbazının yönergelerini izleyin.

    NRT kurallarının yapılandırması çoğu şekilde zamanlanmış analiz kurallarıyla aynıdır.

    • Sorgu mantığınızda birden çok tabloya ve izleme listesine başvurabilirsiniz.

    • Tüm uyarı zenginleştirme yöntemlerini kullanabilirsiniz: varlık eşlemesi, özel ayrıntılar ve uyarı ayrıntıları.

    • Uyarıları olaylar halinde gruplandırmayı ve belirli bir sonuç oluşturulduğunda sorguyu gizlemeyi seçebilirsiniz.

    • Hem uyarılara hem de olaylara yanıtları otomatikleştirebilirsiniz.

    Ancak NRT kurallarının doğası ve sınırlamaları nedeniyle, zamanlanmış analiz kurallarının aşağıdaki özellikleri sihirbazda kullanılamaz:

    • Sorgu zamanlaması yapılandırılamaz, çünkü sorgular otomatik olarak dakikada bir kez ve bir dakikalık geri arama süresiyle çalıştırılacak şekilde zamanlanır.
    • Uyarı eşiği , her zaman bir uyarı oluşturulduğundan ilgisizdir.
    • Olay gruplandırma yapılandırması artık sınırlı bir düzeyde kullanılabilir. Bir NRT kuralının her olay için en fazla 30 olay için bir uyarı oluşturmasını seçebilirsiniz. Bu seçeneği belirlerseniz ve kural 30'dan fazla olayla sonuçlanırsa, ilk 29 olay için tek olay uyarıları oluşturulur ve 30. uyarı sonuç kümesindeki tüm olayları özetler.

    Buna ek olarak, sorgunun kendisi aşağıdaki gereksinimlere sahiptir:

    • Sorguyu çalışma alanları arasında çalıştıramazsınız.

    • Uyarıların boyut sınırları nedeniyle sorgunuz, tablonuzdan project yalnızca gerekli alanları içerecek deyimleri kullanmalıdır. Aksi takdirde, ortaya çıkarılmasını istediğiniz bilgiler kesilebilir.

Sonraki adımlar

Bu belgede, Microsoft Sentinel'de neredeyse gerçek zamanlı (NRT) analiz kuralları oluşturmayı öğrendiniz.