Delen via

Gearchiveerde logboeken herstellen vanuit de zoekfunctie

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Herstel gegevens uit een gearchiveerd logboek voor gebruik in query's en analyses met hoge prestaties.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

Voordat u gegevens in een gearchiveerd logboek herstelt, raadpleegt u Een onderzoek starten door te zoeken naar grote gegevenssets (preview) en Herstellen in Azure Monitor.

Gearchiveerde logboekgegevens herstellen

Als u gearchiveerde logboekgegevens in Microsoft Sentinel wilt herstellen, geeft u de tabel en het tijdsbereik op voor de gegevens die u wilt herstellen. Binnen enkele minuten zijn de logboekgegevens beschikbaar in de Log Analytics-werkruimte. Vervolgens kunt u de gegevens gebruiken in query's met hoge prestaties die ondersteuning bieden voor volledige Kusto-querytaal (KQL).

Herstel gearchiveerde gegevens rechtstreeks vanaf de zoekpagina of vanuit een opgeslagen zoekopdracht.

  1. Selecteer Zoeken in Microsoft Sentinel. In Azure Portal wordt deze pagina weergegeven onder Algemeen. In de Defender-portal bevindt deze pagina zich op het hoofdniveau van Microsoft Sentinel.

  2. Herstel logboekgegevens met behulp van een van de volgende methoden:

    • Selecteer Herstellen boven aan de pagina. Selecteer in het deelvenster Herstellen aan de zijkant de tabel en het tijdsbereik dat u wilt herstellen en selecteer vervolgens Onder aan het deelvenster Herstellen.

    • Selecteer Opgeslagen zoekopdrachten, zoek de zoekresultaten die u wilt herstellen en selecteer Vervolgens Herstellen. Als u meerdere tabellen hebt, selecteert u de tabel die u wilt herstellen en selecteert u vervolgens Acties > herstellen in het zijvenster. Voorbeeld:

      Schermopname van het herstellen van een specifieke sitezoekopdracht.

  3. Wacht totdat de logboekgegevens zijn hersteld. Bekijk de status van uw hersteltaak door op het tabblad Herstel te selecteren.

Herstelde logboekgegevens weergeven

Bekijk de status en resultaten van het herstellen van logboekgegevens door naar het tabblad Herstel te gaan. U kunt de herstelde gegevens weergeven wanneer de status van de hersteltaak Gegevens beschikbaar toont.

  1. Selecteer In Microsoft Sentinel de optie Zoekherstel>.

  2. Wanneer de hersteltaak is voltooid en de status is bijgewerkt, selecteert u de tabelnaam en controleert u de resultaten.

    In Azure Portal worden de resultaten weergegeven op de pagina Logboekquery . In de Defender-portal worden de resultaten weergegeven op de pagina Geavanceerde opsporing .

    Voorbeeld:

    Schermopname van het deelvenster Logboekquery met de herstelde tabelresultaten.

    Het tijdsbereik is ingesteld op een aangepast tijdsbereik dat gebruikmaakt van de begin- en eindtijden van de herstelde gegevens.

Herstelde gegevenstabellen verwijderen

Als u kosten wilt besparen, raden we u aan de herstelde tabel te verwijderen wanneer u deze niet meer nodig hebt. Wanneer u een herstelde tabel verwijdert, worden de onderliggende brongegevens niet verwijderd.

  1. Selecteer in Microsoft Sentinel zoekherstel> en identificeer de tabel die u wilt verwijderen.

  2. Selecteer Verwijderen voor die tabelrij om de herstelde tabel te verwijderen.

Volgende stappen