Wiederherstellen archivierter Protokolle aus der Suche
Stellen Sie Daten aus einem archivierten Protokoll wieder her, um sie in leistungsstarken Abfragen und Analysen zu verwenden.
Wichtig
Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Voraussetzungen
Informationen zum Wiederherstellen von Daten in einem archivierten Protokoll finden Sie unter Starten einer Untersuchung durch Durchsuchen großer Datasets (Vorschau) und Wiederherstellung in Azure Monitor.
Wiederherstellen von Daten aus archivierten Protokollen
Geben Sie zum Wiederherstellen von Daten aus archivierten Protokollen in Microsoft Sentinel die Tabelle und den Zeitbereich für die Daten an, die Sie wiederherstellen möchten. Innerhalb weniger Minuten sind die Protokolldaten im Log Analytics-Arbeitsbereich verfügbar. Anschließend können Sie die Daten in Hochleistungsabfragen verwenden, die das vollständige Kusto-Abfragesprache (KQL) verwenden.
Sie können archivierte Daten direkt über die Seite Suche oder aus einer gespeicherten Suche wiederherstellen.
Wählen Sie in Microsoft Sentinel Suchen aus. Im Azure-Portal finden Sie diese Seite unter Allgemein. Im Defender-Portal finden Sie diese Seite auf der Microsoft Sentinel-Stammebene.
Stellen Sie Protokolldaten mithilfe einer der folgenden Methoden wieder her:
Wählen Sie oben auf der Seite Wiederherstellen aus. Wählen Sie im Bereich Wiederherstellung auf der Seite die Tabelle und den Zeitbereich aus, den Sie wiederherstellen möchten, und wählen Sie dann unten im Bereich Wiederherstellen aus.
Wählen Sie Gespeicherte Suchvorgänge aus, suchen Sie die Suchergebnisse, die Sie wiederherstellen möchten, und wählen Sie dann Wiederherstellen aus. Wenn Sie über mehrere Tabellen verfügen, wählen Sie die aus, die Sie wiederherstellen möchten, und wählen Sie dann im Seitenbereich Aktionen > Wiederherstellen aus. Zum Beispiel:
Warten Sie, bis die Protokolldaten wiederhergestellt wurden. Zeigen Sie den Status Ihres Wiederherstellungsauftrags durch Auswahl auf der Registerkarte Wiederherstellung an.
Anzeigen wiederhergestellter Protokolldaten
Zeigen Sie den Status und die Ergebnisse der Protokolldatenwiederherstellung an, indem Sie zur Registerkarte Wiederherstellung wechseln. Sie können die wiederhergestellten Daten anzeigen, wenn als Status des Wiederherstellungsauftrags Daten verfügbar angezeigt wird.
Wählen Sie in Microsoft Sentinel die Option Wiederherstellung>suchenaus.
Wenn der Wiederherstellungsauftrag abgeschlossen ist und der Status aktualisiert wurde, wählen Sie den Tabellennamen aus und überprüfen die Ergebnisse.
Im Azure-Portal werden die Ergebnisse auf der Abfrageseite Protokolle angezeigt. Im Defender-Portal werden die Ergebnisse auf der Seite Erweiterte Bedrohungssuche angezeigt.
Zum Beispiel:
Der Zeitbereich ist auf einen benutzerdefinierten Zeitbereich festgelegt, der die Start- und Endzeiten der wiederhergestellten Daten verwendet.
Löschen wiederhergestellter Datentabellen
Um Kosten zu sparen, empfiehlt es sich, die wiederhergestellte Tabelle zu löschen, wenn sie nicht mehr benötigt wird. Wenn Sie eine wiederhergestellte Tabelle löschen, werden die zugrunde liegenden Quelldaten nicht gelöscht.
Wählen Sie in Microsoft Sentinel die Option Suchen>Wiederherstellung aus, und ermitteln Sie die Tabelle, die Sie löschen möchten.
Wählen Sie Löschen für diese Tabellenzeile aus, um die wiederhergestellte Tabelle zu löschen.