Rozpocznij badanie, wyszukując zdarzenia w dużych zestawach danych
Jedną z głównych działań zespołu ds. zabezpieczeń jest wyszukiwanie dzienników pod kątem określonych zdarzeń. Możesz na przykład wyszukać dzienniki działań określonego użytkownika w danym przedziale czasu.
W usłudze Microsoft Sentinel można wyszukiwać w długich okresach w bardzo dużych zestawach danych przy użyciu zadania wyszukiwania. Chociaż można uruchomić zadanie wyszukiwania w dowolnym typie dziennika, zadania wyszukiwania idealnie nadają się do przeszukiwania dzienników w stanie przechowywania długoterminowego (dawniej nazywanego archiwum). Jeśli musisz przeprowadzić pełne badanie takich danych, możesz przywrócić te dane do stanu przechowywania interakcyjnego — takiego jak zwykłe tabele usługi Log Analytics — w celu uruchamiania zapytań o wysokiej wydajności i dokładniejszej analizy.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wyszukiwanie dużych zestawów danych
Gdy rozpoczniesz badanie, użyj zadania wyszukiwania, aby znaleźć określone zdarzenia w dziennikach w danym przedziale czasu. Możesz przeszukać wszystkie dzienniki, aby znaleźć zdarzenia zgodne z kryteriami i filtrować wyniki.
Wyszukiwanie w usłudze Microsoft Sentinel jest oparte na zadaniach wyszukiwania. Zadania wyszukiwania to zapytania asynchroniczne, które pobierają rekordy. Wyniki są zwracane do tabeli wyszukiwania utworzonej w obszarze roboczym usługi Log Analytics po uruchomieniu zadania wyszukiwania. Zadanie wyszukiwania używa przetwarzania równoległego do uruchamiania wyszukiwania w długich przedziałach czasu w bardzo dużych zestawach danych. W związku z tym zadania wyszukiwania nie mają wpływu na wydajność ani dostępność obszaru roboczego.
Wyniki wyszukiwania są przechowywane w tabeli o nazwie z sufiksem _SRCH
.
Na poniższej ilustracji przedstawiono przykładowe kryteria wyszukiwania dla zadania wyszukiwania.
Obsługiwane typy dzienników
Użyj wyszukiwania, aby znaleźć zdarzenia w dowolnym z następujących typów dzienników:
Możesz również wyszukiwać dane analityczne lub podstawowe dane dziennika przechowywane w długoterminowym przechowywaniu.
Ograniczenia zadania wyszukiwania
Przed uruchomieniem zadania wyszukiwania należy wziąć pod uwagę następujące ograniczenia:
- Zoptymalizowane pod kątem wykonywania zapytań względem jednej tabeli naraz.
- Zakres dat wyszukiwania wynosi do siedmiu lat.
- Obsługuje długotrwałe wyszukiwanie do 24-godzinnego limitu czasu.
- Wyniki są ograniczone do miliona rekordów w zestawie rekordów.
- Współbieżne wykonywanie na użytkownika jest ograniczone do pięciu zadań wyszukiwania na obszar roboczy.
- Ograniczenie do 100 tabel wyników wyszukiwania na obszar roboczy.
- Ograniczone do 100 wykonań zadań wyszukiwania dziennie na obszar roboczy.
Zadania wyszukiwania nie są obecnie obsługiwane dla następujących obszarów roboczych:
- Obszary robocze z obsługą klucza zarządzanego przez klienta
- Obszary robocze w regionie Chiny Wschodnie 2
Aby dowiedzieć się więcej, zobacz Wyszukiwanie zadania w usłudze Azure Monitor w dokumentacji usługi Azure Monitor .
Przywracanie danych historycznych z zarchiwizowanych dzienników
Jeśli musisz przeprowadzić pełne badanie danych przechowywanych w zarchiwizowanych dziennikach, przywróć tabelę ze strony Wyszukiwania w usłudze Microsoft Sentinel. Określ docelową tabelę i zakres czasu dla danych, które chcesz przywrócić. W ciągu kilku minut dane dziennika są przywracane i dostępne w obszarze roboczym usługi Log Analytics. Następnie możesz użyć danych w zapytaniach o wysokiej wydajności, które obsługują pełne KQL.
Przywrócona tabela dziennika jest dostępna w nowej tabeli z sufiksem *_RST. Przywrócone dane są dostępne, o ile są dostępne bazowe dane źródłowe. Można jednak usunąć przywrócone tabele w dowolnym momencie bez usuwania bazowych danych źródłowych. Aby zaoszczędzić koszty, zalecamy usunięcie przywróconej tabeli, gdy nie jest już potrzebna.
Na poniższej ilustracji przedstawiono opcję przywracania w zapisanym wyszukiwaniu.
Ograniczenia przywracania dziennika
Przed rozpoczęciem przywracania zarchiwizowanej tabeli dziennika należy pamiętać o następujących ograniczeniach:
- Przywracanie danych przez co najmniej dwa dni.
- Przywracanie danych ponad 14 dni.
- Przywróć do 60 TB.
- Przywracanie jest ograniczone do jednego aktywnego przywracania na tabelę.
- Przywróć maksymalnie cztery zarchiwizowane tabele na obszar roboczy tygodniowo.
- Ograniczone do dwóch współbieżnych zadań przywracania na obszar roboczy.
Aby dowiedzieć się więcej, zobacz Przywracanie dzienników w usłudze Azure Monitor.
Wyniki wyszukiwania zakładek lub przywrócone wiersze danych
Podobnie jak w przypadku pulpitu nawigacyjnego wyszukiwania zagrożeń, wiersze zakładek zawierające interesujące informacje, dzięki czemu można je dołączyć do zdarzenia lub odwołać się do nich później. Aby uzyskać więcej informacji, zobacz Tworzenie zakładek.