Udostępnij za pośrednictwem


Rozpocznij badanie, wyszukując zdarzenia w dużych zestawach danych

Jedną z głównych działań zespołu ds. zabezpieczeń jest wyszukiwanie dzienników pod kątem określonych zdarzeń. Możesz na przykład wyszukać dzienniki działań określonego użytkownika w danym przedziale czasu.

W usłudze Microsoft Sentinel można wyszukiwać w długich okresach w bardzo dużych zestawach danych przy użyciu zadania wyszukiwania. Chociaż można uruchomić zadanie wyszukiwania w dowolnym typie dziennika, zadania wyszukiwania idealnie nadają się do przeszukiwania dzienników w stanie przechowywania długoterminowego (dawniej nazywanego archiwum). Jeśli musisz przeprowadzić pełne badanie takich danych, możesz przywrócić te dane do stanu przechowywania interakcyjnego — takiego jak zwykłe tabele usługi Log Analytics — w celu uruchamiania zapytań o wysokiej wydajności i dokładniejszej analizy.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wyszukiwanie dużych zestawów danych

Gdy rozpoczniesz badanie, użyj zadania wyszukiwania, aby znaleźć określone zdarzenia w dziennikach w danym przedziale czasu. Możesz przeszukać wszystkie dzienniki, aby znaleźć zdarzenia zgodne z kryteriami i filtrować wyniki.

Wyszukiwanie w usłudze Microsoft Sentinel jest oparte na zadaniach wyszukiwania. Zadania wyszukiwania to zapytania asynchroniczne, które pobierają rekordy. Wyniki są zwracane do tabeli wyszukiwania utworzonej w obszarze roboczym usługi Log Analytics po uruchomieniu zadania wyszukiwania. Zadanie wyszukiwania używa przetwarzania równoległego do uruchamiania wyszukiwania w długich przedziałach czasu w bardzo dużych zestawach danych. W związku z tym zadania wyszukiwania nie mają wpływu na wydajność ani dostępność obszaru roboczego.

Wyniki wyszukiwania są przechowywane w tabeli o nazwie z sufiksem _SRCH .

Na poniższej ilustracji przedstawiono przykładowe kryteria wyszukiwania dla zadania wyszukiwania.

Zrzut ekranu przedstawiający stronę wyszukiwania z kryteriami wyszukiwania administratora, zakresem czasu w ciągu ostatniego 1 roku i wybraną tabelą.

Obsługiwane typy dzienników

Użyj wyszukiwania, aby znaleźć zdarzenia w dowolnym z następujących typów dzienników:

Możesz również wyszukiwać dane analityczne lub podstawowe dane dziennika przechowywane w długoterminowym przechowywaniu.

Ograniczenia zadania wyszukiwania

Przed uruchomieniem zadania wyszukiwania należy wziąć pod uwagę następujące ograniczenia:

  • Zoptymalizowane pod kątem wykonywania zapytań względem jednej tabeli naraz.
  • Zakres dat wyszukiwania wynosi do siedmiu lat.
  • Obsługuje długotrwałe wyszukiwanie do 24-godzinnego limitu czasu.
  • Wyniki są ograniczone do miliona rekordów w zestawie rekordów.
  • Współbieżne wykonywanie na użytkownika jest ograniczone do pięciu zadań wyszukiwania na obszar roboczy.
  • Ograniczenie do 100 tabel wyników wyszukiwania na obszar roboczy.
  • Ograniczone do 100 wykonań zadań wyszukiwania dziennie na obszar roboczy.

Zadania wyszukiwania nie są obecnie obsługiwane dla następujących obszarów roboczych:

  • Obszary robocze z obsługą klucza zarządzanego przez klienta
  • Obszary robocze w regionie Chiny Wschodnie 2

Aby dowiedzieć się więcej, zobacz Wyszukiwanie zadania w usłudze Azure Monitor w dokumentacji usługi Azure Monitor .

Przywracanie danych historycznych z zarchiwizowanych dzienników

Jeśli musisz przeprowadzić pełne badanie danych przechowywanych w zarchiwizowanych dziennikach, przywróć tabelę ze strony Wyszukiwania w usłudze Microsoft Sentinel. Określ docelową tabelę i zakres czasu dla danych, które chcesz przywrócić. W ciągu kilku minut dane dziennika są przywracane i dostępne w obszarze roboczym usługi Log Analytics. Następnie możesz użyć danych w zapytaniach o wysokiej wydajności, które obsługują pełne KQL.

Przywrócona tabela dziennika jest dostępna w nowej tabeli z sufiksem *_RST. Przywrócone dane są dostępne, o ile są dostępne bazowe dane źródłowe. Można jednak usunąć przywrócone tabele w dowolnym momencie bez usuwania bazowych danych źródłowych. Aby zaoszczędzić koszty, zalecamy usunięcie przywróconej tabeli, gdy nie jest już potrzebna.

Na poniższej ilustracji przedstawiono opcję przywracania w zapisanym wyszukiwaniu.

Zrzut ekranu przedstawiający link przywracania w zapisanym wyszukiwaniu.

Ograniczenia przywracania dziennika

Przed rozpoczęciem przywracania zarchiwizowanej tabeli dziennika należy pamiętać o następujących ograniczeniach:

  • Przywracanie danych przez co najmniej dwa dni.
  • Przywracanie danych ponad 14 dni.
  • Przywróć do 60 TB.
  • Przywracanie jest ograniczone do jednego aktywnego przywracania na tabelę.
  • Przywróć maksymalnie cztery zarchiwizowane tabele na obszar roboczy tygodniowo.
  • Ograniczone do dwóch współbieżnych zadań przywracania na obszar roboczy.

Aby dowiedzieć się więcej, zobacz Przywracanie dzienników w usłudze Azure Monitor.

Wyniki wyszukiwania zakładek lub przywrócone wiersze danych

Podobnie jak w przypadku pulpitu nawigacyjnego wyszukiwania zagrożeń, wiersze zakładek zawierające interesujące informacje, dzięki czemu można je dołączyć do zdarzenia lub odwołać się do nich później. Aby uzyskać więcej informacji, zobacz Tworzenie zakładek.

Następne kroki