Inicio de una investigación buscando eventos en conjuntos de datos de gran tamaño
Una de las actividades principales de un equipo de seguridad es buscar registros para eventos específicos. Por ejemplo, puede buscar en los registros las actividades de un usuario específico dentro de un período de tiempo determinado.
En Microsoft Sentinel, puede buscar en largos períodos de tiempo en conjuntos de datos extremadamente grandes mediante un trabajo de búsqueda. Aunque puede ejecutar un trabajo de búsqueda en cualquier tipo de registro, los trabajos de búsqueda son ideales para buscar registros en un estado de retención a largo plazo (anteriormente conocido como archivo). Si necesita realizar una investigación completa sobre estos datos, puede restaurar esos datos en un estado de retención interactivo (como las tablas normales de Log Analytics) para ejecutar consultas de alto rendimiento y análisis más profundos.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Búsqueda de conjuntos de datos grandes
Use un trabajo de búsqueda al iniciar una investigación para buscar eventos específicos en los registros dentro de un período de tiempo determinado. Puede buscar todos los registros para encontrar eventos que coincidan con los criterios y filtrar por los resultados.
La búsqueda en Microsoft Sentinel se basa en los trabajos de búsqueda. Los trabajos de búsqueda son consultas asincrónicas que capturan registros. Los resultados se devuelven a una tabla de búsqueda que se crea en el área de trabajo de Log Analytics después de iniciar el trabajo de búsqueda. El trabajo de búsqueda usa el procesamiento paralelo para ejecutar la búsqueda en intervalos de tiempo largos, en conjuntos de datos extremadamente grandes. Por lo tanto, los trabajos de búsqueda no afectan al rendimiento o la disponibilidad del área de trabajo.
Los resultados de la búsqueda se almacenan en una tabla denominada con el sufijo _SRCH
.
En la imagen siguiente se muestran criterios de búsqueda de ejemplo para un trabajo de búsqueda.
Tipos de registro admitidos
Use la búsqueda para buscar eventos en cualquiera de los siguientes tipos de registro:
También puede buscar análisis o datos de registro básicos almacenados en retención a largo plazo.
Limitaciones de un trabajo de búsqueda
Antes de iniciar un trabajo de búsqueda, tenga en cuenta las siguientes limitaciones:
- Optimizado para consultar una tabla a la vez.
- El intervalo de fechas de búsqueda es de hasta siete años.
- Admite búsquedas de larga duración hasta un tiempo de espera de 24 horas.
- Los resultados se limitan a un millón de registros en el conjunto de registros.
- La ejecución simultánea por usuario se limita a cinco trabajos de búsqueda por área de trabajo.
- Limitado a 100 tablas de resultados de búsqueda por área de trabajo.
- Limitado a 100 ejecuciones de trabajos de búsqueda al día por área de trabajo.
Los trabajos de búsqueda no se admiten actualmente para las áreas de trabajo siguientes:
- Áreas de trabajo habilitadas para claves administradas por el cliente
- Áreas de trabajo en la región Este de China 2
Para más información, consulte Trabajo de búsqueda en Azure Monitor en la documentación de Azure Monitor.
Restauración de datos históricos a partir de registros archivados
Cuando necesite realizar una investigación completa de los datos almacenados en los registros archivados, restaure una tabla desde la página Buscar de Microsoft Sentinel. Especifique una tabla de destino y un intervalo de tiempo para los datos que desea restaurar. En unos minutos, los datos de registro se restauran y están disponibles en el área de trabajo de Log Analytics. A continuación, puede usar los datos en consultas de alto rendimiento que admiten KQL completo.
Una tabla de registro restaurada está disponible en una nueva tabla que tiene un sufijo *_RST. Los datos restaurados están disponibles siempre que estén disponibles los datos de origen subyacentes. Sin embargo, puede eliminar las tablas restauradas en cualquier momento sin eliminar los datos de origen subyacentes. Para ahorrar costos, se recomienda eliminar la tabla restaurada cuando ya no la necesite.
En la imagen siguiente se muestra la opción de restauración en una búsqueda guardada.
Limitaciones de la restauración de registros
Antes de empezar a restaurar una tabla de registro archivada, tenga en cuenta las siguientes limitaciones:
- Restaure los datos durante un mínimo de dos días.
- Restaurar datos con más de 14 días de antigüedad.
- Restauración de hasta 60 TB.
- La restauración se limita a una restauración activa por tabla.
- Restaure hasta cuatro tablas archivadas por área de trabajo por semana.
- Limitado a dos trabajos de restauración simultáneos por área de trabajo.
Para más información, consulte Restauración de registros en Azure Monitor.
Resultados de búsqueda de marcadores o filas de datos restauradas
De forma similar al panel de búsqueda de amenazas, marque las filas que contienen información que le parece interesante para que pueda adjuntarlas a un incidente o hacer referencia a ellas más adelante. Para más información, consulte Creación de marcadores.