Sdílet prostřednictvím

Zahájení šetření hledáním událostí ve velkých datových sadách

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Jednou z hlavních aktivit bezpečnostního týmu je vyhledání protokolů pro konkrétní události. Můžete například hledat protokoly pro aktivity konkrétního uživatele v daném časovém rámci.

V Microsoft Sentinelu můžete pomocí úlohy vyhledávání vyhledávat v extrémně velkých datových sadách dlouhé časové období. I když můžete spustit úlohu vyhledávání v libovolném typu protokolu, úlohy hledání jsou ideální pro hledání protokolů v dlouhodobém uchovávání (dříve označovaném jako archiv). Pokud potřebujete provést úplné šetření těchto dat, můžete tato data obnovit do interaktivního stavu uchovávání dat, jako jsou běžné tabulky Log Analytics, a spouštět tak vysoce výkonné dotazy a hlubší analýzu.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Hledání velkých datových sad

Když zahájíte šetření, použijte úlohu vyhledávání k vyhledání konkrétních událostí v protokolech v daném časovém rámci. Ve všech protokolech můžete vyhledat události, které odpovídají vašim kritériím, a filtrovat výsledky.

Vyhledávání v Microsoft Sentinelu je postavené na úlohách hledání. Vyhledávací úlohy jsou asynchronní dotazy, které načítají záznamy. Výsledky se vrátí do vyhledávací tabulky vytvořené v pracovním prostoru služby Log Analytics po spuštění úlohy vyhledávání. Úloha vyhledávání používá paralelní zpracování ke spuštění hledání napříč dlouhými časovými rozsahy v extrémně velkých datových sadách. Proto úlohy vyhledávání nemají vliv na výkon ani dostupnost pracovního prostoru.

Výsledky hledání se ukládají do tabulky s názvem s příponou _SRCH .

Následující obrázek ukazuje příklad kritérií hledání pro úlohu hledání.

Snímek obrazovky vyhledávací stránky s kritérii hledání správce, časovým rozsahem za posledních 1 rok a vybranou tabulkou

Podporované typy protokolů

Pomocí vyhledávání vyhledejte události v některém z následujících typů protokolů:

Můžete také prohledávat analýzy nebo základní data protokolů uložená v dlouhodobém uchovávání.

Omezení úlohy vyhledávání

Před zahájením úlohy vyhledávání si uvědomte následující omezení:

  • Optimalizováno pro dotazování na jednu tabulku najednou.
  • Rozsah dat hledání je až sedm let.
  • Podporuje dlouhotrvající hledání až 24hodinový časový limit.
  • Výsledky jsou omezené na jeden milion záznamů v sadě záznamů.
  • Souběžné spouštění na uživatele je omezené na pět úloh hledání na pracovní prostor.
  • Omezeno na 100 tabulek výsledků hledání na pracovní prostor.
  • Omezeno na 100 spuštění úloh vyhledávání za den na pracovní prostor.

Úlohy vyhledávání se v současné době nepodporují pro následující pracovní prostory:

  • Pracovní prostory s povoleným klíčem spravovaným zákazníkem
  • Pracovní prostory v oblasti Čína – východ 2

Další informace najdete v tématu Úloha vyhledávání ve službě Azure Monitor v dokumentaci ke službě Azure Monitor.

Obnovení historických dat z archivovaných protokolů

Pokud potřebujete provést úplné šetření dat uložených v archivovaných protokolech, obnovte tabulku ze stránky Vyhledávání v Microsoft Sentinelu. Zadejte cílovou tabulku a časový rozsah dat, která chcete obnovit. Během několika minut se data protokolu obnoví a zpřístupní v pracovním prostoru služby Log Analytics. Data pak můžete použít v vysoce výkonných dotazech, které podporují úplné KQL.

Obnovená tabulka protokolu je dostupná v nové tabulce, která má příponu *_RST. Obnovená data jsou k dispozici, pokud jsou k dispozici podkladová zdrojová data. Obnovené tabulky ale můžete kdykoli odstranit bez odstranění podkladových zdrojových dat. Pokud chcete ušetřit náklady, doporučujeme odstranit obnovenou tabulku, když ji už nepotřebujete.

Následující obrázek znázorňuje možnost obnovení uloženého hledání.

Snímek obrazovky s odkazem pro obnovení uloženého hledání

Omezení obnovení protokolu

Než začnete obnovovat archivovanou tabulku protokolů, mějte na paměti následující omezení:

  • Obnovte data minimálně po dobu dvou dnů.
  • Obnovte data starší než 14 dní.
  • Obnovte až 60 TB.
  • Obnovení je omezené na jedno aktivní obnovení na tabulku.
  • Obnovte až čtyři archivované tabulky na pracovní prostor za týden.
  • Omezeno na dvě souběžné úlohy obnovení na pracovní prostor.

Další informace najdete v tématu Obnovení protokolů ve službě Azure Monitor.

Záložka výsledků hledání nebo obnovené řádky dat

Podobně jako na řídicím panelu proaktivního vyhledávání hrozeb jsou řádky záložek, které obsahují zajímavé informace, abyste je mohli připojit k incidentu nebo na ně odkazovat později. Další informace najdete v tématu Vytváření záložek.

Další kroky