Búsqueda en intervalos de tiempo largos en grandes conjuntos de datos
Use un trabajo de búsqueda cuando inicie una investigación para encontrar eventos específicos en los registros de hasta hace siete años. Puede buscar eventos en todos los registros, incluidos eventos en los planes de registro de Analytics, Básico y Archivado. Filtre y busque eventos que coincidan con sus criterios.
Para obtener más información sobre los conceptos de trabajo de búsqueda y las limitaciones, consulte Inicio de una investigación mediante la búsqueda de grandes conjuntos de datos y Búsqueda de trabajos en Azure Monitor.
Los trabajos de búsqueda en determinados conjuntos de datos pueden conllevar gastos adicionales. Para obtener más información, consulte la página de precios de Microsoft Sentinel.
Importante
Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Inicio de un trabajo de búsqueda
Vaya a Buscar en Microsoft Sentinel desde el Azure portal o el portal de Microsoft Defender para introducir sus criterios de búsqueda. Según el tamaño del conjunto de datos de destino, los tiempos de búsqueda varían. Aunque la mayoría de los trabajos de búsqueda tardan unos minutos en completarse, también se admiten búsquedas en conjuntos de datos masivos que se ejecutan hasta 24 horas.
Para Microsoft Sentinel en Azure Portal, en General, seleccione Buscar.
Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Buscar.Seleccione el menú Tabla y elija una tabla para la búsqueda.
En el cuadro Buscar, escriba el término de búsqueda.
Seleccione el Inicio para abrir el editor avanzado de Kusto Query Language (KQL) y la versión preliminar de los resultados para un intervalo de tiempo establecido.
Cambie la consulta KQL según sea necesario y seleccione Ejecutar para obtener una versión preliminar actualizada de los resultados de la búsqueda.
Cuando esté satisfecho con la consulta y la versión preliminar de los resultados de la búsqueda, seleccione las elipses ... y active el modo Buscar trabajo.
Seleccione el intervalo de tiempo adecuado.
Resuelva cualquier problema KQL indicado por una línea roja en el editor.
Cuando esté listo para iniciar la búsqueda de trabajo, seleccione Buscar trabajo.
Introduzca un nuevo nombre de tabla para almacenar los resultados de la búsqueda´de trabajo.
Seleccione Ejecutar la búsqueda de trabajo.
Espere a la notificación Búsqueda de trabajo realizada para ver los resultados.
Visualización de los resultados del trabajo de búsqueda
Para ver el estado y los resultados del trabajo de búsqueda, vaya a la pestaña Búsquedas guardadas.
En Microsoft Sentinel, seleccione Buscar>Búsquedas guardadas.
En la tarjeta de búsqueda, seleccione Ver resultados de la búsqueda.
De forma predeterminada, podrá ver todos los resultados que coinciden con los criterios de búsqueda originales.
Para afinar la lista de resultados de la tabla de búsqueda, seleccione Agregar filtro.
Mientras revisa los resultados de su búsqueda de empleo, seleccione Agregar marcador, o seleccione el icono de marcador para conservar una fila. Agregar un marcador le permite etiquetar eventos, agregar notas y adjuntar esos eventos a un incidente para una referencia posterior.
Seleccione el botón Columnas y marque la casilla situada junto a las columnas que desee agregar a la vista de resultados.
Agregue el filtro Marcado para mostrar solo las entradas que ha conservado.
Seleccione Ver todos los marcadores para ir a la página de Búsqueda donde puede agregar un marcador a un incidente existente.
Pasos siguientes
Para más información, consulte los siguientes artículos.