Wyszukiwanie w długich przedziałach czasu w dużych zestawach danych
Użyj zadania wyszukiwania podczas rozpoczęcia badania, aby znaleźć określone zdarzenia w dziennikach do siedmiu lat temu. Zdarzenia można przeszukiwać we wszystkich dziennikach, w tym zdarzenia w planach analitycznych, podstawowych i zarchiwizowanych. Filtrowanie i wyszukiwanie zdarzeń spełniających kryteria.
Aby uzyskać więcej informacji na temat pojęć i ograniczeń zadań wyszukiwania, zobacz Rozpoczynanie badania przez wyszukiwanie dużych zestawów danych i zadań wyszukiwania w usłudze Azure Monitor.
Zadania wyszukiwania w niektórych zestawach danych mogą powodować naliczanie dodatkowych opłat. Aby uzyskać więcej informacji, zobacz stronę cennika usługi Microsoft Sentinel.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Uruchamianie zadania wyszukiwania
Przejdź do pozycji Wyszukaj w usłudze Microsoft Sentinel z witryny Azure Portal lub portalu usługi Microsoft Defender, aby wprowadzić kryteria wyszukiwania. W zależności od rozmiaru docelowego zestawu danych czas wyszukiwania jest różny. Podczas gdy większość zadań wyszukiwania trwa kilka minut, wyszukiwanie w ogromnych zestawach danych uruchamianych do 24 godzin jest również obsługiwane.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Ogólne wybierz pozycję Wyszukaj.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie w usłudze Microsoft Sentinel>.Wybierz menu Tabela i wybierz tabelę dla wyszukiwania.
W polu Wyszukaj wprowadź wyszukiwany termin.
Wybierz pozycję Rozpocznij, aby otworzyć edytor zaawansowanych język zapytań Kusto (KQL) i podgląd wyników dla ustawionego zakresu czasu.
Zmień zapytanie KQL zgodnie z potrzebami i wybierz pozycję Uruchom , aby uzyskać zaktualizowaną wersję zapoznawcza wyników wyszukiwania.
Jeśli zapytanie i podgląd wyników wyszukiwania są zadowalające, wybierz wielokropek ... i przełącz tryb zadania wyszukiwania.
Wybierz odpowiedni zakres czasu.
Rozwiąż wszelkie problemy Z KQL wskazywane przez zwichniętą czerwoną linię w edytorze.
Gdy wszystko będzie gotowe do uruchomienia zadania wyszukiwania, wybierz pozycję Wyszukaj zadanie.
Wprowadź nową nazwę tabeli do przechowywania wyników zadania wyszukiwania.
Wybierz pozycję Uruchom zadanie wyszukiwania.
Poczekaj na wykonanie zadania wyszukiwania powiadomień, aby wyświetlić wyniki.
Wyświetlanie wyników zadania wyszukiwania
Wyświetl stan i wyniki zadania wyszukiwania, przechodząc do karty Zapisane wyszukiwania .
W usłudze Microsoft Sentinel wybierz pozycję Wyszukaj>zapisane wyszukiwania.
Na karcie wyszukiwania wybierz pozycję Wyświetl wyniki wyszukiwania.
Domyślnie są wyświetlane wszystkie wyniki zgodne z oryginalnymi kryteriami wyszukiwania.
Aby uściślić listę wyników zwracanych z tabeli wyszukiwania, wybierz pozycję Dodaj filtr.
Podczas przeglądania wyników zadania wyszukiwania wybierz pozycję Dodaj zakładkę lub wybierz ikonę zakładki, aby zachować wiersz. Dodanie zakładki umożliwia tagowanie zdarzeń, dodawanie notatek i dołączanie tych zdarzeń do zdarzenia w celu późniejszego odwołania.
Zaznacz przycisk Kolumny i zaznacz pole wyboru obok kolumn, które chcesz dodać do widoku wyników.
Dodaj filtr Zakładka, aby wyświetlić tylko zachowane wpisy.
Wybierz pozycję Wyświetl wszystkie zakładki , aby przejść do strony Wyszukiwanie zagrożeń , na której można dodać zakładkę do istniejącego zdarzenia.
Następne kroki
Aby dowiedzieć się więcej, zobacz następujące artykuły.