검색에서 보관된 로그 복원
고성능 쿼리 및 분석에 사용하도록 보관된 로그에서 데이터를 복원합니다.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
필수 조건
보관된 로그에서 데이터를 복원하기 전에 대규모 데이터 세트를 검색하여 조사 시작(미리 보기) 및 Azure Monitor에서 복원을 참조하세요.
보관된 로그 데이터 복원
Microsoft Sentinel에서 보관된 로그 데이터를 복원하려면 복원하려는 데이터의 테이블 및 시간 범위를 지정합니다. 몇 분 안에 로그 데이터를 Log Analytics 작업 영역 내에서 사용할 수 있습니다. 그런 다음, 전체 KQL(Kusto 쿼리 언어)을 지원하는 고성능 쿼리에서 데이터를 사용할 수 있습니다.
검색 페이지 또는 저장된 검색에서 직접 보관된 데이터를 복원합니다.
Microsoft Sentinel에서 검색을 선택합니다. Azure Portal에서 이 페이지는 일반에 나열됩니다. Defender 포털에서 이 페이지는 Microsoft Sentinel 루트 수준에 있습니다.
다음 방법 중 하나를 사용하여 로그 데이터를 복원합니다.
페이지 상단의
복원을 선택합니다. 측면에 있는 복원 창에서 복원하려는 테이블과 시간 범위를 선택한 다음, 창 하단에서 복원을 선택합니다.저장된 검색을 선택하고 복원하려는 검색 결과를 찾은 다음 복원을 선택합니다. 여러 개의 테이블이 있는 경우 복원할 테이블을 선택한 다음 측면 창에서 작업 > 복원을 선택합니다. 예시:
로그 데이터가 복원될 때까지 기다립니다. 복원 탭에서 선택하여 복원 작업의 상태를 확인합니다.
복원된 로그 데이터 보기
복원 탭으로 이동하여 로그 데이터 복원의 상태 및 결과를 봅니다. 복원 작업의 상태에 사용 가능한 데이터가 표시되면 복원된 데이터를 볼 수 있습니다.
Microsoft Sentinel에서 검색>복원을 선택합니다.
복원 작업이 완료되고 상태가 업데이트되면 테이블 이름을 선택하고 결과를 검토합니다.
Azure Portal에서 결과는 로그 쿼리 페이지에 표시됩니다. Defender 포털에서 결과는 고급 헌팅 페이지에 표시됩니다.
예시:
시간 범위는 복원된 데이터의 시작 및 종료 시간을 사용하는 사용자 지정 시간 범위로 설정됩니다.
복원된 데이터 테이블 삭제
비용을 절약하려면 더 이상 필요하지 않을 때 복원된 테이블을 삭제하는 것이 좋습니다. 복원된 테이블을 삭제해도 기본 원본 데이터는 삭제되지 않습니다.
Microsoft Sentinel에서 검색>복원을 선택하고 삭제하려는 테이블을 식별합니다.
복원된 테이블을 삭제하려면 해당 테이블 행에 대해 삭제를 선택합니다.