重要事項
自訂偵測現在是跨 Microsoft Sentinel SIEM Microsoft Defender 全面偵測回應建立新規則的最佳方式。 透過自訂偵測,您可以降低擷取成本、取得無限制的即時偵測,並受益於與 Defender 全面偵測回應 資料、函式和補救動作的無縫整合,且具有自動實體對應。 如需詳細資訊,請參閱此部落格。
Microsoft Sentinel 的近乎即時分析規則會提供現成可用的即時威脅偵測。 這種類型的規則旨在以一分鐘的間隔執行其查詢,以便能快速回應。
目前,這些範本的應用有限 (如下所述),但科技會快速發展並成長。
重要事項
Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出,包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。
從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新客戶 會自動上線並重新導向至 Defender 入口網站。
如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
檢視近乎即時 (NRT) 規則
從 [Microsoft Defender] 導覽功能表中,展開 [Microsoft Sentinel],然後展開 [設定]。 選取 分析。
在 [ 分析 ] 畫面上,選取 [ 使用中規則 ] 索引卷標,篩選 NRT 範本的清單:
選取 [新增篩選] ,然後從篩選清單中選擇 [ 規則類型 ]。
從產生的清單中,選取 [NRT]。 然後選取 [ 套用]。
建立 NRT 規則
建立 NRT 規則的方式與建立一般 排程查詢分析規則的方式相同:
從 [Microsoft Defender] 導覽功能表中,展開 [Microsoft Sentinel],然後展開 [設定]。 選取 分析。
在方格頂端的動作列中,選取 [+建立 ],然後選取 [NRT 查詢規則]。 這會開啟 [分析規則精靈]。
遵循 分析規則精靈的指示。
NRT 規則的設定大部分與排程分析規則相同。
您可以在查詢邏輯中參考多個資料表和 監看清單 。
您可以選擇將警示分成事件群組的方式,以及在產生特定結果時隱藏查詢。
您可以將警示和事件的回應自動化。
您可以跨多個工作區執行規則查詢。
不過,由於 NRT 規則的性質和限制,因此精靈 中將無法使用 下列排程分析規則的功能:
- 查詢排程 無法設定,因為查詢會自動排程為每分鐘執行一次,並具有一分鐘的回溯期間。
- 警示閾值 無關,因為一律會產生警示。
- 事件群組組態 現在可供有限程度使用。 您可以選擇讓 NRT 規則為每個事件產生最多 30 個事件的警示。 如果您選擇此選項且規則會產生超過 30 個事件,則會針對前 29 個事件產生單一事件警示,而第 30 個警示則會摘要結果集中的所有事件。
此外,基於警示的大小限制,您的查詢應使用
project陳述式,使其只包含資料表中必要的欄位。 否則,您想呈現的資訊最後可能會遭到截斷。
後續步驟
在本文件中,您已了解如何在 Microsoft Sentinel 中建立近乎即時 (NRT) 分析規則。
- 深入瞭解 Microsoft sentinel 中的近乎即時 (NRT) 分析規則。
- 探索其他 分析規則類型。