Udostępnij za pośrednictwem

Przywracanie zarchiwizowanych dzienników z wyszukiwania

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Przywróć dane z zarchiwizowanego dziennika, aby używać ich w wysoce wydajnych zapytaniach i analizie.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Przed przywróceniem danych w zarchiwizowanym dzienniku zobacz Rozpocznij badanie, wyszukując duże zestawy danych (wersja zapoznawcza) i Przywróć w usłudze Azure Monitor.

Przywracanie zarchiwizowanych danych dziennika

Aby przywrócić zarchiwizowane dane dziennika w usłudze Microsoft Sentinel, określ tabelę i zakres czasu dla danych, które chcesz przywrócić. W ciągu kilku minut dane dziennika są dostępne w obszarze roboczym usługi Log Analytics. Następnie możesz użyć danych w zapytaniach o wysokiej wydajności, które obsługują pełne język zapytań Kusto (KQL).

Przywracanie zarchiwizowanych danych bezpośrednio ze strony Wyszukiwanie lub z zapisanego wyszukiwania.

  1. W usłudze Microsoft Sentinel wybierz pozycję Wyszukaj. W witrynie Azure Portal ta strona jest wyświetlana w obszarze Ogólne. W portalu usługi Defender ta strona znajduje się na poziomie głównym usługi Microsoft Sentinel.

  2. Przywróć dane dziennika przy użyciu jednej z następujących metod:

    • Wybierz pozycję Przywróć w górnej części strony. W okienku Przywracanie po stronie wybierz tabelę i zakres czasu, który chcesz przywrócić, a następnie wybierz pozycję Przywróć w dolnej części okienka.

    • Wybierz pozycję Zapisane wyszukiwania, znajdź wyniki wyszukiwania, które chcesz przywrócić, a następnie wybierz pozycję Przywróć. Jeśli masz wiele tabel, wybierz tę, którą chcesz przywrócić, a następnie wybierz pozycję Akcje > Przywróć w okienku bocznym. Na przykład:

      Zrzut ekranu przedstawiający przywracanie określonego wyszukiwania witryny.

  3. Poczekaj na przywrócenie danych dziennika. Wyświetl stan zadania przywracania, wybierając kartę Przywracanie .

Wyświetlanie przywróconych danych dziennika

Wyświetl stan i wyniki przywracania danych dziennika, przechodząc do karty Przywracanie . Przywrócone dane można wyświetlić, gdy stan zadania przywracania zawiera dane dostępne.

  1. W usłudze Microsoft Sentinel wybierz pozycję Przywracanie wyszukiwania>.

  2. Po zakończeniu zadania przywracania i zaktualizowaniu stanu wybierz nazwę tabeli i przejrzyj wyniki.

    W witrynie Azure Portal wyniki są wyświetlane na stronie zapytania Dzienniki . W portalu usługi Defender wyniki są wyświetlane na stronie Zaawansowane wyszukiwanie zagrożeń.

    Na przykład:

    Zrzut ekranu przedstawiający okienko zapytania dzienników z przywróconymi wynikami tabeli.

    Zakres czasu jest ustawiony na niestandardowy zakres czasu, który używa czasów rozpoczęcia i zakończenia przywróconych danych.

Usuwanie przywróconych tabel danych

Aby zaoszczędzić koszty, zalecamy usunięcie przywróconej tabeli, gdy nie jest już potrzebna. Usunięcie przywróconej tabeli powoduje, że bazowe dane źródłowe nie zostaną usunięte.

  1. W usłudze Microsoft Sentinel wybierz pozycję Przywracanie wyszukiwania>i zidentyfikuj tabelę, którą chcesz usunąć.

  2. Wybierz pozycję Usuń dla tego wiersza tabeli, aby usunąć przywróconą tabelę.

Następne kroki