Bagikan melalui

Bekerja dengan aturan analisis deteksi hampir real-time (NRT) di Microsoft Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Aturan analitik mendekati real-time Microsoft Azure Sentinel menyediakan deteksi ancaman terkini dengan cara yang kreatif. Jenis aturan ini dirancang agar sangat responsif dengan menjalankan kuerinya pada interval hanya satu menit.

Untuk saat ini, templat ini memiliki aplikasi terbatas seperti yang diuraikan di bawah ini, tetapi teknologinya berkembang pesat dan berkembang.

Penting

Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Lihat aturan near-real-time (NRT)

  1. Dari bagian Konfigurasi menu navigasi Microsoft Azure Sentinel, pilih Analitik.

  2. Pada layar Analitik, dengan tab Aturan aktif dipilih, filter daftar untuk templat NRT:

    1. Pilih Tambahkan filter dan pilih Jenis aturan dari daftar filter.

    2. Dari daftar yang dihasilkan, pilih NRT. Lalu, pilih Terapkan.

Buat aturan NRT

Anda membuat aturan NRT dengan cara yang sama seperti Anda membuat aturan analisis kueri terjadwal biasa:

  1. Dari bagian Konfigurasi menu navigasi Microsoft Azure Sentinel, pilih Analitik.

  2. Di bilah tindakan di bagian atas, pilih +Buat dan pilih aturan kueri NRT. Ini membuka wizard aturan Analitik.

    Cuplikan layar memperlihatkan cara membuat aturan NRT baru.

  1. Ikuti petunjuk wizard aturan analitik.

    Konfigurasi aturan NRT dalam banyak hal sama dengan aturan analitik terjadwal.

    • Anda dapat merujuk ke beberapa tabel dan daftar pengawasan dalam logika kueri Anda.

    • Anda dapat menggunakan semua metode pengayaan pemberitahuan: pemetaan entitas, detail kustom, dan detail pemberitahuan.

    • Anda dapat memilih cara mengelompokkan pemberitahuan ke dalam insiden, dan untuk menekan kueri saat hasil tertentu telah dibuat.

    • Anda dapat mengotomatiskan respons terhadap pemberitahuan dan insiden.

    • Anda dapat menjalankan kueri aturan di beberapa ruang kerja.

    Namun, karena sifat dan batasan aturan NRT, fitur aturan analisis terjadwal berikut tidak akan tersedia di wizard:

    • Penjadwalan kueri tidak dapat dikonfigurasi, karena kueri secara otomatis dijadwalkan untuk dijalankan sekali per menit dengan periode lookback satu menit.
    • Ambang pemberitahuan tidak relevan, karena pemberitahuan selalu dibuat.
    • Konfigurasi pengelompokan peristiwa sekarang tersedia untuk tingkat terbatas. Anda dapat memilih untuk membuat aturan NRT menghasilkan pemberitahuan untuk setiap peristiwa hingga 30 peristiwa. Jika Anda memilih opsi ini dan aturan menghasilkan lebih dari 30 peristiwa, pemberitahuan peristiwa tunggal akan dibuat untuk 29 peristiwa pertama, dan pemberitahuan ke-30 akan meringkas semua peristiwa dalam tataan hasil.

    Selain itu, karena batas ukuran pemberitahuan, kueri Anda harus menggunakan project pernyataan untuk menyertakan hanya bidang yang diperlukan dari tabel Anda. Jika tidak, informasi yang ingin Anda tampilkan dapat terpotong.

Langkah berikutnya

Dalam dokumen ini, Anda belajar cara membuat aturan analitik hampir real-time (NRT) di Microsoft Sentinel.