Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wymieniono i porównano różne funkcje obsługiwane przez reguły analizy usługi Microsoft Sentinel i niestandardowe wykrycia w usłudze Microsoft Defender. Udostępnia również dodatkowe informacje, takie jak plany obsługi wszelkich możliwości reguł analizy, które nie są dostępne w przypadku wykrywania niestandardowego, jeśli ma to zastosowanie.
Ważne
Wykrywanie niestandardowe to teraz najlepszy sposób tworzenia nowych reguł w usłudze Microsoft Sentinel SIEM Microsoft Defender XDR. Dzięki wykrywaniu niestandardowemu można zmniejszyć koszty pozyskiwania, uzyskać nieograniczoną liczbę wykrywania w czasie rzeczywistym i korzystać z bezproblemowej integracji z Defender XDR danych, funkcji i akcji korygowania z automatycznym mapowaniem jednostek. Aby uzyskać więcej informacji, przeczytaj ten blog.
Porównanie reguł analizy i funkcji wykrywania niestandardowego
| Funkcja | Zdolność | Reguły analizy | Niestandardowe wykrycia |
|---|---|---|---|
| Wzbogacanie alertów | Elastyczne mapowanie jednostek na danych usługi Sentinel | Wsparte | Wsparte |
| Łączenie wielu taktyk MITRE | Wsparte | Planowane | |
| Obsługa pełnej listy technik i podtechnik MITRE | Wsparte | Planowane | |
| Wzbogacanie alertów przy użyciu szczegółów niestandardowych | Wsparte | Wsparte | |
| Dynamiczne definiowanie tytułu i opisu alertu — integrowanie wyników zapytania w środowisku uruchomieniowym | Wsparte | Wsparte | |
| Dynamiczne definiowanie wszystkich właściwości alertów — integrowanie wyników zapytania w środowisku uruchomieniowym | Wsparte | Planowane | |
| Częstotliwość reguł | Obsługa elastycznej i wysokiej częstotliwości danych usługi Sentinel | Wsparte | Wsparte |
| Reguły niemal w czasie rzeczywistym (NRT) dotyczące danych usługi Sentinel | Wsparte | Planowane | |
| Technologia przesyłania strumieniowego NRT — testuj zdarzenia podczas przesyłania strumieniowego, niezależna od opóźnień w pobieraniu. | Niewspierane. Reguły Analytics NRT testują zdarzenia po ich pozyskiwaniu. | Wsparte | |
| Ustalenie pierwszego uruchomienia reguły | Wsparte | Niewspierane | |
| Analiza wsteczna reguł | Wsparcie dla funkcji lookback | Analiza historyczna jest elastyczna:
|
Horyzont czasowy jest statycznie określany przez częstotliwość: jest równe czterokrotności częstotliwości lub 30 dni przy częstotliwości 24 godzin lub mniej. Planowana jest parzystość z regułami analizy |
| Dane reguły | Dane XDR usługi Defender | Niewspierane | Wsparte |
| Warstwa analityki Sentinel | Wsparte | Wsparte | |
| Akcje automatyczne | Natywne działania naprawcze XDR w Defenderze | Niewspierane | Wsparte |
| Reguły automatyzacji usługi Sentinel z wyzwalaczem incydentu | Wsparte | Planowane | |
| Reguły automatyzacji usługi Sentinel z wyzwalaczem alertu | Wsparte | Planowane | |
| Audyt i widoczność stanu zdrowia | Dzienniki audytowe reguł dostępne w zaawansowanym wyszukiwaniu | Obsługiwane (w SentinelAudit tabeli) |
Zawarte w CloudAppEvents tabeli dla użytkowników usługi Microsoft Defender for Cloud Apps.Ta funkcja będzie dostępna dla wszystkich użytkowników wykrywania niestandardowego w przyszłości. |
| Dzienniki kondycji reguł dostępne w zaawansowanym polowaniu | Obsługiwane (w SentinelHealth tabeli) |
Planowane | |
| Kontrolowanie grupowania alertów i zdarzeń | Dostosowywanie logiki grupowania alertów | Wsparte | Niewspierane. W rozwiązaniach SIEM i XDR aparat korelacji zajmuje się logiką grupowania alertów i może rozwiązać konieczność skonfigurowania logiki grupowania. |
| Wybieranie między wszystkimi zdarzeniami w ramach jednego alertu i jednym alertem na zdarzenie | Wsparte | Niewspierane | |
| Grupuj zdarzenia do jednego alertu, gdy szczegóły niestandardowe, szczegóły dynamiczne alertu i jednostki są takie same. | Niewspierane | Wsparte | |
| Kontrolowanie zdarzeń i tworzenia alertów | Wykluczanie zdarzeń z aparatu korelacji — upewnij się, że zdarzenia z różnych reguł pozostają oddzielone | Planowane | Planowane |
| Tworzenie alertów bez zdarzeń | Wsparte | Niewspierane | |
| Pomijanie alertów — definiowanie pomijania alertów po uruchomieniu reguły | Wsparte | Niewspierane | |
| Zarządzanie regułami | Ponowne uruchamianie reguły na żądanie w poprzednim przedziale czasu | Wsparte | Planowane |
| Uruchamianie reguły na żądanie | Niewspierane | Wsparte | |
| Skoroszyty dotyczące zdrowia i jakości | Wsparte | Planowane | |
| Integracja z repozytoriami usługi Sentinel | Wsparte | Planowane | |
| Zarządzanie regułami z poziomu interfejsu API | Wsparte | Wsparte | |
| Wsparcie dla Bicep | Wsparte | Planowane | |
| Centrum zawartości | Tworzenie reguł z centrum zawartości | Wsparte | Planowane |
| Wielofunkcyjny obszar roboczy | Tworzenie niestandardowych wykryć we wszystkich obszarach roboczych dołączonych do usługi Defender | Wsparte | Planowane |
| Wykrywanie między obszarami roboczymi przy użyciu operatora obszaru roboczego | Wsparte | Planowane | |
| Testowanie i walidacje | Symulacja reguł z kreatora reguły | Wsparte | Planowane |