你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Microsoft Sentinel 中使用准实时 (NRT) 检测分析规则

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

重要

自定义检测现在是跨 Microsoft Sentinel SIEM Microsoft Defender XDR 创建新规则的最佳方式。 使用自定义检测,可以降低引入成本,获得无限的实时检测,并通过自动实体映射与Defender XDR数据、函数和修正操作的无缝集成受益。 有关详细信息,请阅读 此博客

Microsoft Sentinel的准实时分析规则提供开箱即用的即时威胁检测。 这种类型的规则旨在通过间隔一分钟运行其查询来具有很高的响应能力。

目前,这些模板的应用有限,如下所述,但该技术正在迅速发展和发展。

重要

2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel

如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验

查看近实时 (NRT) 规则

  1. 在Microsoft Defender导航菜单中,依次展开“Microsoft Sentinel”和“配置”。 选择“ 分析”。

  2. “分析 ”屏幕上,选择“ 活动规则 ”选项卡后,筛选 NRT 模板的列表:

    1. 选择“ 添加筛选器 ”,然后从筛选器列表中选择“ 规则类型 ”。

    2. 从生成的列表中选择“ NRT”。 然后选择“ 应用”。

创建 NRT 规则

创建 NRT 规则的方式与创建常规 计划查询分析规则的方式相同:

  1. 在Microsoft Defender导航菜单中,依次展开“Microsoft Sentinel”和“配置”。 选择“ 分析”。

  2. 在网格顶部的操作栏中,选择“ +创建 ”,然后选择“ NRT 查询规则”。 这会打开 Analytics 规则向导

    屏幕截图显示如何创建新的 NRT 规则。

  1. 按照 分析规则向导的说明进行操作。

    NRT 规则的配置在大多数方面与计划分析规则的配置相同。

    • 可以在查询逻辑中引用多个表和 监视列表

    • 可以使用所有警报扩充方法: 实体映射自定义详细信息警报详细信息

    • 可以选择如何将警报分组为事件,以及如何在生成特定结果时取消查询。

    • 可以自动响应警报和事件。

    • 可以跨多个工作区运行规则查询。

    但是,由于 NRT 规则的性质和限制,计划分析规则的以下功能在向导中 不可用

    • 查询计划 不可配置,因为查询自动计划为每分钟运行一次,回溯期为一分钟。
    • 警报阈值 不相关,因为始终生成警报。
    • 事件分组 配置现在在有限程度上可用。 可以选择让 NRT 规则为每个事件生成最多 30 个事件的警报。 如果选择此选项,并且规则导致超过 30 个事件,则会为前 29 个事件生成单事件警报,并且第 30 个警报将汇总结果集中的所有事件。

    此外,由于警报的大小限制,查询应使用 project 语句来仅包含表中的必要字段。 否则,要显示的信息最终可能会被截断。

后续步骤

本文档介绍了如何在 Microsoft Sentinel 中创建准实时 (NRT) 分析规则。

  • Last updated on