Microsoft Sentinel'de neredeyse gerçek zamanlı (NRT) analiz kurallarıyla hızlı tehdit algılama

Güvenlik tehditleriyle karşılaştığınızda, zaman ve hız esastır. Tehditleri kapsamak için hızla analiz edebilmeniz ve yanıt verebilmeniz için tehditlerin gerçekleştirilmesinden haberdar olmanız gerekir. Microsoft Sentinel'in neredeyse gerçek zamanlı (NRT) analiz kuralları, şirket içi SIEM'e daha yakın bir şekilde daha hızlı tehdit algılama ve belirli senaryolarda yanıt sürelerini kısaltma olanağı sunar.

Microsoft Sentinel'in neredeyse gerçek zamanlı analiz kuralları , en güncel tehdit algılamayı kullanıma hazır bir şekilde sunar. Bu tür bir kural, sorgusunu yalnızca bir dakika arayla çalıştırarak yüksek oranda duyarlı olacak şekilde tasarlanmıştır.

NRT kuralları nasıl çalışır?

NRT kuralları, size mümkün olduğunca güncel bilgiler sağlamak için dakikada bir çalıştırılacak ve önceki dakikada alınan olayları yakalayacak şekilde sabit kodlanmıştır.

Alma süresi gecikmesini hesaba katmak için yerleşik beş dakikalık gecikmede çalışan düzenli zamanlanmış kuralların aksine, NRT kuralları yalnızca iki dakikalık bir gecikmeyle çalıştırılır ve kaynaktaki oluşturma süreleri yerine olayların alım süresini sorgulayarak alım gecikmesi sorununu çözer (TimeGenerated alanı). Bu, algılamalarınızda hem sıklık hem de doğruluk iyileştirmelerine neden olur. (Bu sorunu daha fazla anlamak için bkz. Sorgu zamanlaması ve uyarı eşiği ve Zamanlanmış analiz kurallarında alım gecikmesini işleme.)

NRT kuralları, zamanlanmış analiz kurallarıyla aynı özelliklere ve özelliklere sahiptir. Tüm uyarı zenginleştirme özellikleri kullanılabilir; varlıkları eşleyebilir ve özel ayrıntıları ortaya çıkarabilirsiniz ve uyarı ayrıntıları için dinamik içerik yapılandırabilirsiniz. Uyarıların olaylar halinde nasıl gruplandırılacağını seçebilir, sonuç oluşturduktan sonra sorgunun çalıştırılmasını geçici olarak gizleyebilirsiniz ve kuraldan oluşturulan uyarılara ve olaylara yanıt olarak çalıştırılacak otomasyon kuralları ve playbook'ları tanımlayabilirsiniz.

Şimdilik, bu şablonlar aşağıda açıklandığı gibi sınırlı bir uygulamaya sahiptir, ancak teknoloji hızla gelişmekte ve büyümektedir.

Dikkat edilmesi gereken noktalar

Şu anda NRT kurallarının kullanımı aşağıdaki sınırlamalara tabidir:

  • Şu anda müşteri başına en fazla 50 kural tanımlanamaz.

  • NRT kuralları, tasarım gereği yalnızca 12 saatten kısa bir alım gecikmesiyle günlük kaynaklarında düzgün çalışır.

    (NRT kural türünün yaklaşık gerçek zamanlı veri alımı olması gerektiğinden, 12 saatten çok daha az olsa bile önemli bir alım gecikmesi olan günlük kaynaklarında NRT kurallarını kullanmanız size avantaj sağlamaz.)

  • Bu tür bir kuralın söz dizimi aşamalı olarak gelişmektedir. Şu anda aşağıdaki sınırlamalar yürürlükte kalır:

    • Bu kural türü gerçek zamanlıya yakın olduğundan yerleşik gecikmeyi en aza indirdik (iki dakika).

    • NRT kuralları olay oluşturma süresi (TimeGenerated alanıyla gösterilir) yerine veri alım süresini kullandığından, veri kaynağı gecikmesini ve veri alım süresi gecikmesini güvenle yoksayabilirsiniz (yukarıya bakın).

    • Sorgular yalnızca tek çalışma alanı içinde çalıştırılabilir. Çalışma alanları arasında çalıştırma özelliği yoktur.

    • Olay gruplandırma artık sınırlı bir dereceye kadar yapılandırılabilir. NRT kuralları en fazla 30 tek olaylı uyarı oluşturabilir. 30'dan fazla olayla sonuçlanacak sorguya sahip bir kural, ilk 29 için uyarılar, ardından tüm geçerli olayları özetleyen 30. uyarı oluşturur.

    • NRT kuralında tanımlanan sorgular artık birden fazla tabloya başvurabilir.

Sonraki adımlar

Bu belgede, Microsoft Sentinel'de neredeyse gerçek zamanlı (NRT) analiz kurallarının nasıl çalıştığını öğrendiniz.