Microsoft 365 Defender で、ほぼリアルタイム(NRT: near real-time)のカスタム検出がパブリックプレビュー発表されています。
Respond to threats in near real-time with custom XDR detections
迅速な検出ニーズに対応するため、カスタム検出ルールの設定が、既存の 24時間ごとから1時間ごとまでの頻度に加え、ほぼリアルタイムの「継続的(NRT)」が設定できるようになりました。
迅速な検出と応答アクションの実行は、脅威の軽減に繋がります。
カスタム検出と自動応答アクションのユースケース例が幾つか挙げられています。
・新たに公開された脆弱性に関連する脅威アクティビティを監視する。
例えば、DeviceProcessEvents テーブルから Log4j の脆弱性を悪用する文字列を探し、調査開始や修復アクションを構成する。
・ 組織にとって望ましくないと定義されたメールが配信されたら、自動的に削除する
・ 特定の IPアドレスから受信者をなりすまして送られたメッセージをブロックする
オンラインドキュメントによると「継続的(NRT)」を設定できるのは1つのテーブルに対するクエリで、サポート対象となるテーブルも記載されています。
Microsoft 365 Defenderでカスタム検出ルールを作成および管理する | Microsoft Learn