你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要说明
自定义检测现在是在 Microsoft Sentinel SIEM Microsoft Defender XDR 中创建新规则的最佳方式。 使用自定义检测,可以降低引入成本,获得无限的实时检测,并通过自动实体映射与Defender XDR数据、函数和修正作的无缝集成受益。 有关详细信息,请阅读此博客。
Microsoft Sentinel 的准实时分析规则提供开箱即用的最新威胁检测。 这种类型的规则被设计为高度响应,每隔一分钟就运行一次其查询。
目前,这些模板的应用范围有限(如下所述),但该技术正在快速演进和发展。
重要说明
Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,包括没有 Microsoft Defender XDR 或 E5 许可证的客户。
从 2026 年 7 月开始,在 Azure 门户中使用 Microsoft Sentinel 的所有客户都将 重定向到 Defender 门户,并将仅在 Defender 门户中使用 Microsoft Sentinel。 从 2025 年 7 月开始,许多新客户 会自动加入并重定向到 Defender 门户。
如果仍在 Azure 门户中使用 Microsoft Sentinel,建议开始计划 过渡到 Defender 门户 ,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全作体验。 有关详细信息,请参阅“ 是时候行动了:停用 Microsoft Sentinel 的 Azure 门户,以提高安全性。
查看准实时 (NRT) 规则
在 Microsoft Defender 导航菜单中,展开“Microsoft Sentinel”,然后选择“配置”。 选择“分析”。
在“分析”屏幕上,选择“活动规则”选项卡后,筛选“NRT”模板列表:
选择“添加筛选器”,并从筛选器列表中选择规则类型。
从生成的列表中选择“NRT”。 然后,选择“应用”。
创建 NRT 规则
创建 NRT 规则的方式与创建普通计划查询分析规则的方式相同:
在 Microsoft Defender 导航菜单中,展开“Microsoft Sentinel”,然后选择“配置”。 选择“分析”。
在网格顶部的操作栏中,选择“+创建”,然后选择“NRT 查询规则”。 这样会打开“分析规则向导”。
-
NRT 规则的配置基本上与计划分析规则的配置相同。
可以使用所有警报扩充方法:实体映射、自定义详细信息和警报详细信息。
可以选择如何将警报分组为事件,以及在生成特定结果后抑制查询。
可以自动响应警报和事件。
可以跨多个工作区运行规则查询。
但是,由于 NRT 规则的性质和限制,向导中不提供计划分析规则的以下特性:
- 查询计划不可配置,因为查询会自动计划为每分钟运行一次,回溯期为一分钟。
- 警报阈值无关紧要,因为始终会生成警报。
- “事件分组”配置当前使用范围有限。 可选择设置 NRT 规则,使其为每个事件(最多 30 个事件)生成警报。 如果选择此选项,规则的结果超过 30 个事件时,会为前 29 个事件生成单事件警报,第 30 个警报将汇总结果集中的所有事件。
此外,由于警报的大小限制,查询应使用
project语句来仅包含表中的必要字段。 否则,你想要显示的信息最终可能会截断。
后续步骤
在本文档中,你学习了如何在 Microsoft Sentinel 中创建准实时 (NRT) 分析规则。
- 详细了解 Microsoft Sentinel 中的准实时 (NRT) 分析规则。
- 浏览其他分析规则类型。