In Microsoft Sentinel gibt es verschiedene Arten von Regeln, die jeweils unterschiedliche Zwecke erfüllen:
- Geplante Regeln: Diese Regeln führen Abfragen in regelmäßigen Abständen durch, um Muster oder Aktivitäten zu identifizieren, die auf Sicherheitsbedrohungen hinweisen könnten. Sie sind flexibel einstellbar und können so konfiguriert werden, dass sie in verschiedenen Zeitintervallen ausgeführt werden. Geplante Regeln können auch Warnungen generieren, die dann manuell oder automatisch als Vorfälle behandelt werden können.
- NRT-Regeln (Near-Real-Time): NRT-Regeln sind für eine schnelle Erkennung von Bedrohungen konzipiert und führen ihre Abfragen in sehr kurzen Intervallen von nur einer Minute durch. Sie sind darauf ausgelegt, extrem reaktionsschnell zu sein und bieten eine aktuelle Bedrohungserkennung, die näher an der eines SIEM vor Ort ist. Im Gegensatz zu geplanten Regeln, die eine integrierte Verzögerung haben, um die Zeitverzögerung bei der Erfassung zu berücksichtigen, haben NRT-Regeln nur eine minimale Verzögerung und sind daher in der Lage, Ereignisse fast in Echtzeit zu erfassen.
- Regeln zum Erstellen von Microsoft Incidents: Diese Regeln sind speziell dafür vorgesehen, aus Warnungen Vorfälle zu erstellen. Sie ermöglichen es, Warnungen basierend auf bestimmten Kriterien zu gruppieren und als einen Vorfall zu behandeln. Dies ist besonders nützlich, um zusammenhängende Warnungen effizient zu verwalten und auf sie zu reagieren. Die genauen Details dieser Regeln können je nach Konfiguration und den spezifischen Anforderungen einer Organisation variieren.
Zusammenfassend lässt sich sagen, dass geplante Regeln für regelmäßige Überprüfungen, NRT-Regeln für fast sofortige Erkennungen und Regeln zum Erstellen von Incidents für die effiziente Verwaltung und Reaktion auf Warnungen verwendet werden. Jede Regelart spielt eine wichtige Rolle im Rahmen der Sicherheitsstrategie, die Microsoft Sentinel bietet.
Was ist der Unterschied zum Hunting?
Hunting und NRT-Regeln (Near-Real-Time) in Microsoft Sentinel haben zwar ähnliche Ziele, nämlich die schnelle Erkennung von Bedrohungen, sie unterscheiden sich jedoch in ihrer Funktionsweise und Anwendung.
Hunting ist ein proaktiver Ansatz, bei dem Sicherheitsanalysten mithilfe von Abfragen und Untersuchungen aktiv nach versteckten Bedrohungen und Anomalien in den Daten suchen. Es ist ein explorativer Prozess, der oft manuell durchgeführt wird, um neue und unbekannte Bedrohungen zu identifizieren, die möglicherweise von automatisierten Systemen übersehen werden. Hunting ermöglicht es Analysten, Hypothesen zu testen und tiefere Einblicke in die Sicherheitslage zu erhalten.
NRT-Regeln hingegen sind automatisierte Regeln, die in sehr kurzen Intervallen von nur einer Minute ausgeführt werden, um Bedrohungen nahezu in Echtzeit zu erkennen. Sie sind hartcodiert und darauf ausgelegt, extrem reaktionsschnell zu sein, indem sie die in der vorangegangenen Minute erfassten Ereignisse aufzeichnen.
Im Gegensatz zu regulären geplanten Regeln, die mit einer integrierten fünfminütigen Verzögerung ausgeführt werden, um die Zeitverzögerung bei der Erfassung zu berücksichtigen, werden NRT-Regeln mit nur einer zweiminütigen Verzögerung ausgeführt.
Hunting ist also ein manueller, explorativer Prozess, der von Analysten durchgeführt wird, um nach Bedrohungen zu suchen. NRT-Regeln sind automatisierte, hartcodierte Regeln, die für eine schnelle Erkennung von Bedrohungen in nahezu Echtzeit konzipiert sind. Beide Methoden ergänzen sich und sind wichtige Bestandteile einer umfassenden Sicherheitsstrategie in Microsoft Sentinel2.