Freigeben über


Durchführen von Suchen über lange Zeitspannen in großen Datasets

Verwenden Sie einen Suchauftrag, wenn Sie eine Recherche zum Auffinden bestimmter Ereignisse in Protokollen durchführen, die bis zu sieben Jahre zurückliegen. Sie können Ereignisse in sämtlichen Protokollen suchen, darunter auch Ereignisse in den Plänen „Analyseprotokolle“, „Basisprotokolle“ und „Archivierte Protokolle“. Filtern und suchen Sie nach Ereignissen, die Ihren Kriterien entsprechen.

Wichtig

Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal (Vorschau).

Starten eines Suchauftrags

Navigieren Sie über das Azure-Portal oder über das Microsoft Defender-Portal zu Suchen in Microsoft Sentinel, um Ihre Suchkriterien einzugeben. Abhängig von der Größe des Zieldatasets können die Suchzeiten variieren. Während die meisten Suchaufträge nur wenige Minuten in Anspruch nehmen, werden auch Suchvorgänge in umfangreichen Datensätzen unterstützt, die bis zu 24 Stunden dauern können.

  1. Microsoft Sentinel im Azure-Portal: Wählen Sie unter Allgemein die Option Suchen aus.
    Microsoft Sentinel im Defender-Portal: Wählen Sie Microsoft Sentinel>Suchen aus.

  2. Wählen Sie das Menü Tabelle und dann eine Tabelle für Ihre Suche aus.

  3. Geben Sie im Feld Suche einen Suchbegriff ein.

  4. Wählen Sie Start aus, um den erweiterten Editor für die Kusto-Abfragesprache (Kusto Query Language, KQL) zu öffnen und eine Vorschau der Ergebnisse für einen festgelegten Zeitbereich anzuzeigen.

  5. Ändern Sie die KQL-Abfrage nach Bedarf, und wählen Sie Ausführen aus, um eine aktualisierte Vorschau der Suchergebnisse zu erhalten.

    Screenshot: KQL-Editor mit überarbeiteter Suche

  6. Wenn Sie mit der Abfrage und der Vorschau der Suchergebnisse zufrieden sind, wählen Sie die Auslassungspunkte ... aus, und aktivieren Sie den Suchauftragsmodus.

    Screenshot: KQL-Editor mit überarbeiteter Suche und hervorgehobenen Auslassungspunkten für den Suchauftragsmodus

  7. Wählen Sie den passenden Zeitrahmen aus.

  8. Beheben Sie alle KQL-Probleme, auf die im Editor durch eine rote Wellenlinie hingewiesen wird.

  9. Wenn Sie bereit sind, den Suchauftrag zu starten, wählen Sie Auftrag suchen aus.

  10. Geben Sie einen neuen Tabellennamen zum Speichern der Ergebnisse des Suchauftrags ein.

  11. Wählen Sie Suchauftrag ausführen aus.

  12. Warten Sie, bis die Benachrichtigung Der Suchauftrag ist abgeschlossen angezeigt wird. Danach können Sie sich die Ergebnisse ansehen.

Anzeigen der Ergebnisse von Suchaufträgen

Sie können den Status und die Ergebnisse Ihres Suchauftrags anzeigen, indem Sie zur Registerkarte Gespeicherte Suchvorgänge wechseln.

  1. Wählen Sie in Microsoft Sentinel Suchen>Gespeicherte Suchläufe aus.

  2. Wählen Sie auf der Suchkarte Suchergebnisse anzeigen aus.

    Screenshot: Link zum Anzeigen der Suchergebnisse am unteren Rand der Suchauftragskarte

    Standardmäßig werden alle Ergebnisse angezeigt, die Ihren ursprünglichen Suchkriterien entsprechen.

  3. Wenn Sie die Liste der aus der Suchtabelle zurückgegebenen Ergebnisse eingrenzen möchten, wählen Sie Filter hinzufügen aus.

  4. Wählen Sie bei der Überprüfung Ihrer Suchergebnisse die Option Lesezeichen hinzufügen oder das Lesezeichensymbol aus, um eine Zeile zu speichern. Durch das Hinzufügen eines Lesezeichens können Sie Ereignisse markieren, Notizen hinzufügen und diese Ereignisse zur späteren Bezugnahme an ein Ereignis anhängen.

    Screenshot: Ergebnisse des Suchauftrags beim Hinzufügen eines Lesezeichens

  5. Wählen Sie die Schaltfläche Spalten aus, und aktivieren Sie das Kontrollkästchen neben den Spalten, die Sie der Ergebnisansicht hinzufügen möchten.

  6. Fügen Sie den Filter Mit Lesezeichen versehen hinzu, um ausschließlich gespeicherte Einträge anzuzeigen.

  7. Wählen Sie Alle Lesezeichen anzeigen aus, um die Seite Hunting aufzurufen, auf der Sie einem vorhandenen Incident ein Lesezeichen hinzufügen können.

Nächste Schritte

Weitere Informationen finden Sie in den folgenden Artikeln: