Partilhar via

Trabalhar com regras de análise de deteção quase em tempo real (NRT) no Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

As regras de análise quase em tempo real do Microsoft Sentinel fornecem up-todeteção de ameaças pronta para uso. Esse tipo de regra foi projetado para ser altamente responsivo, executando sua consulta em intervalos de apenas um minuto de intervalo.

Por enquanto, esses modelos têm aplicação limitada, conforme descrito abaixo, mas a tecnologia está evoluindo e crescendo rapidamente.

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Ver regras quase em tempo real (NRT)

  1. No menu de navegação do Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Analytics.

  2. Na tela Análise , com a guia Regras ativas selecionada, filtre a lista para modelos NRT :

    1. Selecione Adicionar filtro e escolha Tipo de regra na lista de filtros.

    2. Na lista resultante, selecione NRT. Em seguida, selecione Aplicar.

Criar regras NRT

Você cria regras NRT da mesma forma que cria regras regulares de análise de consulta agendada:

  1. No menu de navegação do Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Analytics.

  2. Na barra de ações na parte superior da grade, selecione +Criar e selecione Regra de consulta NRT. Isso abre o assistente de regras do Google Analytics.

    A captura de tela mostra como criar uma nova regra NRT.

  1. Siga as instruções do assistente de regras de análise.

    A configuração das regras NRT é, na maioria dos aspetos, a mesma das regras de análise agendada.

    • Você pode fazer referência a várias tabelas e listas de observação em sua lógica de consulta.

    • Você pode usar todos os métodos de enriquecimento de alerta: mapeamento de entidade, detalhes personalizados e detalhes de alerta.

    • Você pode escolher como agrupar alertas em incidentes e suprimir uma consulta quando um resultado específico tiver sido gerado.

    • Você pode automatizar as respostas a alertas e incidentes.

    • Você pode executar a consulta de regras em vários espaços de trabalho.

    No entanto, devido à natureza e às limitações das regras NRT, os seguintes recursos das regras de análise agendada não estarão disponíveis no assistente:

    • O agendamento de consultas não é configurável, uma vez que as consultas são agendadas automaticamente para serem executadas uma vez por minuto com um período de retrospetiva de um minuto.
    • O limiar de alerta é irrelevante, uma vez que é sempre gerado um alerta.
    • A configuração do agrupamento de eventos agora está disponível em um grau limitado. Você pode optar por fazer com que uma regra NRT gere um alerta para cada evento para até 30 eventos. Se você escolher essa opção e a regra resultar em mais de 30 eventos, alertas de evento único serão gerados para os primeiros 29 eventos, e um 30º alerta resumirá todos os eventos no conjunto de resultados.

    Além disso, devido aos limites de tamanho dos alertas, sua consulta deve usar project instruções para incluir apenas os campos necessários da tabela. Caso contrário, as informações que você deseja exibir podem acabar sendo truncadas.

Próximos passos

Neste documento, você aprendeu como criar regras de análise quase em tempo real (NRT) no Microsoft Sentinel.