Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Wykrywanie niestandardowe jest teraz najlepszym sposobem tworzenia nowych reguł w Microsoft Defender XDR SIEM usługi Microsoft Sentinel. Dzięki wykrywaniu niestandardowemu można zmniejszyć koszty pozyskiwania, uzyskać nieograniczoną liczbę wykrywania w czasie rzeczywistym i korzystać z bezproblemowej integracji z Defender XDR danych, funkcji i akcji korygowania z automatycznym mapowaniem jednostek. Aby uzyskać więcej informacji, przeczytaj ten blog.
Reguły analizy niemal w czasie rzeczywistym w usłudze Microsoft Sentinel zapewniają gotowe do użycia gotowe wykrywanie zagrożeń. Ten typ reguły został zaprojektowany tak, aby był bardzo dynamiczny, uruchamiając zapytanie w odstępach zaledwie jedną minutę.
Obecnie te szablony mają ograniczoną aplikację, jak opisano poniżej, ale technologia szybko się rozwija i rozwija.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Wyświetlanie reguł niemal w czasie rzeczywistym (NRT)
Z menu nawigacji usługi Microsoft Defender rozwiń węzeł Microsoft Sentinel, a następnie pozycję Konfiguracja. Wybierz pozycję Analizy.
Na ekranie Analiza z wybraną kartą Aktywne reguły przefiltruj listę szablonów NRT:
Wybierz pozycję Dodaj filtr i wybierz pozycję Typ reguły z listy filtrów.
Z wynikowej listy wybierz pozycję NRT. Następnie wybierz pozycję Zastosuj.
Tworzenie reguł NRT
Reguły NRT są tworzone w taki sam sposób, jak w przypadku tworzenia regularnych reguł analizy zaplanowanych zapytań:
Z menu nawigacji usługi Microsoft Defender rozwiń węzeł Microsoft Sentinel, a następnie pozycję Konfiguracja. Wybierz pozycję Analizy.
Na pasku akcji w górnej części siatki wybierz pozycję +Utwórz i wybierz regułę zapytania NRT. Spowoduje to otwarcie kreatora reguły analizy.
Postępuj zgodnie z instrukcjami kreatora reguł analizy.
Konfiguracja reguł NRT jest w większości taka sama jak w przypadku zaplanowanych reguł analizy.
W logice zapytań można odwoływać się do wielu tabel i list obserwowanych .
Możesz użyć wszystkich metod wzbogacania alertów: mapowania jednostek, szczegółów niestandardowych i szczegółów alertu.
Możesz wybrać sposób grupowania alertów w zdarzenia i pomijania zapytania po wygenerowaniu określonego wyniku.
Odpowiedzi na alerty i zdarzenia można zautomatyzować.
Zapytanie reguły można uruchomić w wielu obszarach roboczych.
Ze względu na charakter i ograniczenia reguł NRT następujące funkcje zaplanowanych reguł analizy nie będą jednak dostępne w kreatorze:
- Planowanie zapytań nie jest konfigurowalne, ponieważ zapytania są automatycznie zaplanowane do uruchamiania raz na minutę z jednominutowym okresem wyszukiwania.
- Próg alertu jest nieistotny, ponieważ alert jest zawsze generowany.
- Konfiguracja grupowania zdarzeń jest teraz dostępna w ograniczonym stopniu. Możesz wybrać, że reguła NRT generuje alert dla każdego zdarzenia dla maksymalnie 30 zdarzeń. Jeśli wybierzesz tę opcję, a reguła będzie zawierać więcej niż 30 zdarzeń, alerty z jednym zdarzeniem zostaną wygenerowane dla pierwszych 29 zdarzeń, a 30 alert będzie zawierać podsumowanie wszystkich zdarzeń w zestawie wyników.
Ponadto ze względu na limity rozmiaru alertów zapytanie powinno używać
projectinstrukcji do uwzględnienia tylko niezbędnych pól z tabeli. W przeciwnym razie informacje, które chcesz wyświetlić, mogą zostać obcięte.
Następne kroki
W tym dokumencie przedstawiono sposób tworzenia reguł analizy niemal w czasie rzeczywistym (NRT) w usłudze Microsoft Sentinel.
- Dowiedz się więcej o regułach analizy niemal w czasie rzeczywistym (NRT) w usłudze Microsoft Sentinel.
- Zapoznaj się z innymi typami reguł analizy.