Hledání napříč dlouhými časovými rozsahy ve velkých datových sadách
Při zahájení šetření použijte úlohu vyhledávání k vyhledání konkrétních událostí v protokolech až před sedmi lety. Události můžete prohledávat ve všech protokolech, včetně událostí v plánech Analytics, Basic a Archived Log. Vyfiltrujte a hledejte události, které odpovídají vašim kritériím.
Další informace o konceptech a omezeních úloh vyhledávání najdete v tématu Zahájení šetření vyhledáváním velkých datových sad a úloh hledání ve službě Azure Monitor.
Za úlohy vyhledávání v určitých datových sadách se můžou účtovat další poplatky. Další informace najdete na stránce s cenami služby Microsoft Sentinel.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Spuštění úlohy vyhledávání
Přejděte na web Microsoft Sentinel na webu Azure Portal nebo na portálu Microsoft Defender a zadejte kritéria hledání. V závislosti na velikosti cílové datové sady se doby hledání liší. I když dokončení většiny úloh hledání trvá několik minut, podporuje se také vyhledávání v rozsáhlých sadách dat, které běží až 24 hodin.
Pro Microsoft Sentinel na webu Azure Portal v části Obecné vyberte Hledat.
Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Search.Vyberte nabídku Tabulka a zvolte tabulku pro hledání.
Do vyhledávacího pole zadejte hledaný termín.
Výběrem nabídky Start otevřete rozšířený editor dotazovací jazyk Kusto (KQL) a zobrazte náhled výsledků pro nastavený časový rozsah.
Podle potřeby změňte dotaz KQL a výběrem možnosti Spustit získejte aktualizovaný náhled výsledků hledání.
Až budete s dotazem a náhledem výsledků hledání spokojení, vyberte tři tečky a zapněte režim úlohy hledání.
Vyberte odpovídající časový rozsah.
Vyřešte všechny problémy KQL označené vlnovkou červenou čárou v editoru.
Až budete připraveni spustit úlohu vyhledávání, vyberte úlohu Hledat.
Zadejte nový název tabulky, do které se uloží výsledky úlohy hledání.
Vyberte Spustit úlohu hledání.
Počkejte, až se úloha hledání oznámení dokončí , aby se zobrazily výsledky.
Zobrazení výsledků úlohy hledání
Stav a výsledky úlohy hledání zobrazíte tak, že přejdete na kartu Uložené hledání .
V Microsoft Sentinelu vyberte Hledat uložená hledání>.
Na kartě hledání vyberte Zobrazit výsledky hledání.
Ve výchozím nastavení se zobrazí všechny výsledky, které odpovídají původním kritériím hledání.
Pokud chcete upřesnit seznam výsledků vrácených z vyhledávací tabulky, vyberte Přidat filtr.
Při kontrole výsledků úlohy hledání vyberte Přidat záložku nebo vyberte ikonu záložky, abyste zachovali řádek. Přidání záložky umožňuje označit události, přidat poznámky a připojit tyto události k incidentu pro pozdější referenci.
Vyberte tlačítko Sloupce a zaškrtněte políčko vedle sloupců, které chcete přidat do zobrazení výsledků.
Přidejte filtr Bookmarked tak, aby se zobrazovaly pouze zachované položky.
Vyberte Zobrazit všechny záložky a přejděte na stránku Proaktivní vyhledávání , kde můžete přidat záložku k existujícímu incidentu.
Další kroky
Další informace najdete v následujících článcích.