Zamanlanmış analiz kurallarında alım gecikmesini işleme

  • Makale

Microsoft Sentinel çeşitli kaynaklardan veri alabiliyor olsa da, her veri kaynağı için veri alma süresi farklı durumlarda farklılık gösterebilir.

Bu makalede, alım gecikmesi zamanlanmış analiz kurallarınızı nasıl etkileyebilecek ve bu boşlukları kapatmak için bunları nasıl düzeltebileceğiniz açıklanmaktadır.

Gecikme neden önemlidir?

Örneğin, son beş dakikadaki verileri arayarak kuralın beş dakikada bir çalıştırılması için Her çalıştır sorgusunu ve son alanlardaki Arama verilerini ayarlayarak özel bir algılama kuralı yazabilirsiniz:

Analiz Kuralı Sihirbazı - Yeni kural oluştur penceresini gösteren ekran görüntüsü.

Son alandaki Arama verileri, geriye bakma dönemi olarak bilinen bir ayarı tanımlar. İdeal olarak, gecikme olmadığında, bu algılama aşağıdaki diyagramda gösterildiği gibi hiçbir olayı kaçırmaz:

Beş dakikalık arka arkaya bakma penceresini gösteren diyagram.

Olay oluşturuldukçe gelir ve geri arama dönemine dahil edilir.

Şimdi veri kaynağınız için biraz gecikme olduğunu varsayalım. Bu örnekte olayın oluşturulduktan iki dakika sonra alındığını varsayalım. Gecikme iki dakikadır:

İki dakika gecikmeli beş dakikalık arka arkaya bakma pencerelerini gösteren diyagram.

Olay ilk geriye bakma dönemi içinde oluşturulur, ancak ilk çalıştırmada Microsoft Sentinel çalışma alanınıza gönderilmez. Zamanlanan sorgu bir sonraki çalıştırılışında olayı alır, ancak zaman oluşturulan filtre beş dakikadan uzun bir süre önce gerçekleştiğinden olayı kaldırır. Bu durumda, kural bir uyarı tetiklemiyor.

Gecikmeyi işleme

Not

Sorunu aşağıda açıklanan işlemi kullanarak çözebilir veya Microsoft Sentinel'in neredeyse gerçek zamanlı algılama (NRT) kurallarını uygulayabilirsiniz. Daha fazla bilgi için bkz . Microsoft Sentinel'de neredeyse gerçek zamanlı (NRT) analiz kurallarıyla tehditleri hızla algılama.

Sorunu çözmek için veri türünüzün gecikmesini bilmeniz gerekir. Bu örnekte gecikmenin iki dakika olduğunu zaten biliyorsunuz.

Kendi verileriniz için Kusto ingestion_time() işlevini kullanma gecikmesini anlayabilir ve TimeGenerated ile alma süresi arasındaki farkı hesaplayabilirsiniz. Daha fazla bilgi için bkz . Alım gecikmesini hesaplama.

Gecikmeyi belirledikten sonra sorunu aşağıdaki gibi çözebilirsiniz:

  • Geriye bakma süresini artırın. Temel sezgi, geri bakma dönemi boyutunu artırmanın size yardımcı olacağını söyler. Geri arama süreniz beş dakika ve gecikmeniz iki dakika olduğundan, geri arama süresini yedi dakikaya ayarlamak bu sorunu çözmenize yardımcı olur. Örneğin, kural ayarlarınızda:

    Geri bakma penceresini yedi dakikaya ayarlamayı gösteren ekran görüntüsü.

    Aşağıdaki diyagramda, look-pack döneminin artık kaçırılan olayı nasıl içerdiği gösterilmektedir:

    İki dakika gecikmeli olarak yedi dakikalık arka arkaya bakma pencerelerini gösteren diyagram.

  • Yinelenenleri işleme. Geriye bak pencereleri artık örtüştüğünden, yalnızca geriye bakma döneminin artırılması yineleme oluşturabilir. Örneğin, farklı bir olay aşağıdaki diyagramda gösterildiği gibi görünebilir:

    Çakışan arka bakış pencerelerinin yinelemeyi nasıl oluşturacağını gösteren diyagram.

    TimeGenerated olayı değeri her iki arka arama döneminde de bulunduğundan, olay iki uyarı tetikler. Yinelemeyi çözmenin bir yolunu bulmanız gerekir.

  • Olayı belirli bir geri bakış dönemiyle ilişkilendirin. İlk örnekte, zamanlanan sorgu çalıştırıldığında verileriniz alınmadığı için olayları kaçırdınız. Geri arama işlemini olayı içerecek şekilde genişlettiniz, ancak bu yinelemeye neden oldu. Olayı, içerecek şekilde genişletmiş olduğunuz pencereyle ilişkilendirmeniz gerekir.

    Bunu yapmak için özgün kural look-back = 5myerine ayarını ingestion_time() > ago(5m)yapın. Bu ayar olayı ilk arka bakış penceresiyle ilişkilendirir. Örneğin:

    Ago kısıtlamasının ayarlanmasının yinelemeyi nasıl önleeceğini gösteren diyagram.

    Alım süresi kısıtlaması artık arka arkaya bakma süresine eklediğiniz fazladan iki dakikayı kısaltıyor. İlk örnek için ikinci çalıştırma geri arama dönemi şimdi olayı yakalar:

    Ago kısıtlamasının ayarlanmasının olayı nasıl yakaladığını gösteren diyagram.

Aşağıdaki örnek sorgu, alma gecikmesi sorunlarını çözmeye yönelik çözümü özetler:

let ingestion_delay = 2min;
let rule_look_back = 5min;
CommonSecurityLog
| where TimeGenerated >= ago(ingestion_delay + rule_look_back)
| where ingestion_time() > ago(rule_look_back)

Alım gecikmesini hesaplama

Varsayılan olarak, Microsoft Sentinel zamanlanmış uyarı kuralları 5 dakikalık bir geriye bakma süresine sahip olacak şekilde yapılandırılır. Ancak, her veri kaynağının kendi ayrı alım gecikmesi olabilir. Birden çok veri türünü birleştirirken, geri bakma süresini doğru yapılandırmak için her veri türü için farklı gecikmeleri anlamanız gerekir.

Microsoft Sentinel'de kullanıma hazır olarak sağlanan Çalışma Alanı Kullanım Raporu, çalışma alanınıza akan farklı veri türleri için gecikme süresini ve gecikmeleri gösteren bir pano içerir.

Örneğin:

Tabloya göre Uçtan Uca Gecikme Süresini gösteren Çalışma Alanı Kullanım Raporu'nun ekran görüntüsü

Sonraki adımlar

Daha fazla bilgi için bkz.