Delen via

Een onderzoek starten door te zoeken naar gebeurtenissen in grote gegevenssets

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Een van de primaire activiteiten van een beveiligingsteam is het zoeken naar logboeken voor specifieke gebeurtenissen. U kunt bijvoorbeeld logboeken zoeken naar de activiteiten van een specifieke gebruiker binnen een bepaalde periode.

In Microsoft Sentinel kunt u zoeken in lange perioden in extreem grote gegevenssets met behulp van een zoektaak. Hoewel u een zoektaak voor elk type logboek kunt uitvoeren, zijn zoektaken ideaal voor zoeklogboeken met een langetermijnretentiestatus (voorheen archiefstatus). Als u een volledig onderzoek wilt uitvoeren naar dergelijke gegevens, kunt u die gegevens herstellen in een interactieve retentiestatus, zoals uw reguliere Log Analytics-tabellen, om query's met hoge prestaties en een diepere analyse uit te voeren.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Grote gegevenssets doorzoeken

Gebruik een zoektaak wanneer u een onderzoek start om binnen een bepaalde periode specifieke gebeurtenissen in logboeken te vinden. U kunt in al uw logboeken zoeken naar gebeurtenissen die voldoen aan uw criteria en de resultaten filteren.

Zoeken in Microsoft Sentinel is gebaseerd op zoektaken. Zoektaken zijn asynchrone query's waarmee records worden opgehaald. De resultaten worden geretourneerd naar een zoektabel die is gemaakt in uw Log Analytics-werkruimte nadat u de zoektaak hebt gestart. De zoektaak maakt gebruik van parallelle verwerking om de zoekopdracht gedurende lange tijdsperioden uit te voeren, in zeer grote gegevenssets. Zoektaken hebben dus geen invloed op de prestaties of beschikbaarheid van de werkruimte.

Zoekresultaten worden opgeslagen in een tabel met de naam met een _SRCH achtervoegsel.

In de volgende afbeelding ziet u voorbeeldzoekcriteria voor een zoektaak.

Schermopname van de zoekpagina met zoekcriteria van beheerder, tijdsbereik afgelopen 1 jaar en een tabel geselecteerd.

Ondersteunde logboektypen

Gebruik de zoekfunctie om gebeurtenissen te vinden in een van de volgende logboektypen:

U kunt ook zoeken in analyses of basislogboekgegevens die zijn opgeslagen in langetermijnretentie.

Beperkingen van een zoektaak

Voordat u een zoektaak start, moet u rekening houden met de volgende beperkingen:

  • Geoptimaliseerd om een query uit te voeren op één tabel tegelijk.
  • Het zoekdatumbereik is maximaal zeven jaar.
  • Ondersteunt langdurige zoekopdrachten tot een time-out van 24 uur.
  • Resultaten zijn beperkt tot één miljoen records in de recordset.
  • Gelijktijdige uitvoering per gebruiker is beperkt tot vijf zoektaken per werkruimte.
  • Beperkt tot 100 tabellen met zoekresultaten per werkruimte.
  • Beperkt tot 100 uitvoeringen van zoektaken per dag per werkruimte.

Zoektaken worden momenteel niet ondersteund voor de volgende werkruimten:

  • Werkruimten waarvoor door de klant beheerde sleutels zijn ingeschakeld
  • Werkruimten in de regio China - oost 2

Zie de zoektaak in Azure Monitor in de Documentatie van Azure Monitor voor meer informatie.

Historische gegevens herstellen uit gearchiveerde logboeken

Wanneer u een volledig onderzoek moet uitvoeren naar gegevens die zijn opgeslagen in gearchiveerde logboeken, herstelt u een tabel vanaf de pagina Zoeken in Microsoft Sentinel. Geef een doeltabel en tijdsbereik op voor de gegevens die u wilt herstellen. Binnen een paar minuten worden de logboekgegevens hersteld en beschikbaar in de Log Analytics-werkruimte. Vervolgens kunt u de gegevens gebruiken in query's met hoge prestaties die volledige KQL ondersteunen.

Een herstelde logboektabel is beschikbaar in een nieuwe tabel met een *_RST achtervoegsel. De herstelde gegevens zijn beschikbaar zolang de onderliggende brongegevens beschikbaar zijn. U kunt herstelde tabellen echter op elk gewenst moment verwijderen zonder de onderliggende brongegevens te verwijderen. Als u kosten wilt besparen, raden we u aan de herstelde tabel te verwijderen wanneer u deze niet meer nodig hebt.

In de volgende afbeelding ziet u de hersteloptie voor een opgeslagen zoekopdracht.

Schermopname van de herstelkoppeling voor een opgeslagen zoekopdracht.

Beperkingen van het herstellen van logboeken

Voordat u begint met het herstellen van een gearchiveerde logboektabel, moet u rekening houden met de volgende beperkingen:

  • Gegevens minimaal twee dagen herstellen.
  • Gegevens herstellen die meer dan 14 dagen oud zijn.
  • Herstel tot 60 TB.
  • Herstellen is beperkt tot één actieve herstelbewerking per tabel.
  • Herstel maximaal vier gearchiveerde tabellen per werkruimte per week.
  • Beperkt tot twee gelijktijdige hersteltaken per werkruimte.

Zie Logboeken herstellen in Azure Monitor voor meer informatie.

Zoekresultaten bladwijzers of herstelde gegevensrijen

Net als bij het dashboard voor het opsporen van bedreigingen, bladwijzerrijen die informatie bevatten die u interessant vindt, zodat u ze aan een incident kunt koppelen of later kunt raadplegen. Zie Bladwijzers maken voor meer informatie.

Volgende stappen