보안 위협에 직면한 경우 시간과 속도가 중요합니다. 구체화되는 위협을 인식해야 신속하게 분석하고 대응하여 억제할 수 있습니다. Microsoft Sentinel의 NRT(거의 실시간) 분석 규칙은 온-프레미스 SIEM에 가까운 더 빠른 위협 탐지와 특정 시나리오에서 응답 시간을 단축하는 기능을 제공합니다.
Microsoft Sentinel의 실시간에 가까운 분석 규칙은 기본 제공 최신 위협 검색 기능을 제공합니다. 이 형식의 규칙은 1분 간격으로 쿼리를 실행하여 응답성이 매우 높도록 설계되었습니다.
어떻게 작동 합니까?
NRT 규칙은 1분마다 한 번씩 실행되어 이전 1분간 수집된 이벤트를 캡처하도록 하드 코딩되므로 가능한 최신 정보를 제공할 수 있습니다.
수집 시간 지연을 고려하기 위해 기본 제공 5분 지연으로 실행되는 일반 예약 규칙과 달리 NRT 규칙은 단 2분 지연으로 실행되고 원본의 생성 시간(TimeGenerated 필드) 대신 이벤트 수집 시간을 쿼리하여 수집 지연 문제를 해결합니다. 이로 인해 탐지 빈도와 정확도가 모두 향상됩니다. 해당 이슈에 대한 자세한 내용은 쿼리 예약 및 경고 임계값 및 예약된 분석 규칙에서 수집 지연 처리를 참조하세요.
NRT 규칙에는 예약된 분석 규칙과 동일한 많은 기능과 특징이 있습니다. 엔터티를 매핑하고, 사용자 지정 세부 정보를 표시하고, 경고 세부 정보를 위해 동적 콘텐츠를 구성하는 등 경고 보강 기능의 전체 집합을 사용할 수 있습니다. 경고를 인시던트로 그룹화하는 방법을 선택하고, 결과를 생성한 후 쿼리 실행을 일시적으로 억제하고, 규칙에서 생성된 경고 및 인시던트에 대응하여 실행할 자동화 규칙 및 플레이북을 정의할 수 있습니다.
당분간 이러한 템플릿은 아래에 설명된 대로 적용이 제한되지만 기술은 빠르게 발전하고 성장하고 있습니다.
고려 사항
현재 NRT 규칙의 사용을 제어하는 제한 사항은 다음과 같습니다.
현재 고객당 20개 이하의 규칙을 정의할 수 있습니다.
새로운 규칙 유형이기 때문에 구문이 현재 제한되어 있지만 점차 발전할 것입니다. 따라서 현재 다음 제한 사항이 적용됩니다.
NRT 규칙에 정의된 쿼리는 하나의 테이블만 참조할 수 있습니다. 그러나 쿼리는 여러 관심 목록과 위협 인텔리전스 피드를 참조할 수 있습니다.
합집합 또는 조인을 사용할 수 없습니다.
이 규칙 유형은 거의 실시간에 적용되므로 기본 제공 지연을 최소(2분)로 줄였습니다.
NRT 규칙은 이벤트 생성 시간(TimeGenerated 필드로 표시)이 아닌 수집 시간을 사용하므로 데이터 원본 지연 및 수집 대기 시간을 안전하게 무시할 수 있습니다(위 참조).
쿼리는 단일 작업 영역 내에서만 실행할 수 있습니다. 작업 영역 간 기능이 없습니다.
이벤트 그룹화를 구성할 수 없습니다. NRT 규칙은 적용 가능한 모든 이벤트를 그룹화하는 단일 경고를 생성합니다.
