Pesquisar grandes conjuntos de dados em longos períodos
Use um trabalho de pesquisa ao iniciar uma investigação para localizar eventos específicos em logs de até sete anos. Você pode pesquisar eventos em todos os logs, incluindo eventos em planos de log Análise, Básico e Arquivado. Filtre e procure eventos que correspondam aos seus critérios.
Para obter mais informações sobre conceitos e limitações do trabalho de pesquisa, consulte Iniciar uma investigação pesquisando grandes conjuntos de dados e Pesquisar trabalhos no Azure Monitor.
Trabalhos de pesquisa em determinados conjuntos de dados podem incorrer em encargos extras. Para obter mais informações, confira Página de preços do Microsoft Sentinel.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para a versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Iniciar um trabalho de pesquisa
Acesse Search no Microsoft Sentinel no portal do Azure ou no portal do Microsoft Defender, para inserir os critérios de pesquisa. Dependendo do tamanho do conjunto de dados de destino, os tempos de pesquisa variam. Embora a maioria dos trabalhos de pesquisa leve alguns minutos para ser concluída, também há suporte para pesquisas em conjuntos de dados maciços que duram até 24 horas.
Para o Microsoft Sentinel noportal do Azure, em Geral , selecioneSearch.
Para o Microsoft Sentinel no portal do Defender, selecioneMicrosoft Sentinel>Search.Selecione o menu Tabela e escolha uma tabela para sua pesquisa.
Na caixa Pesquisar, insira o termo de pesquisa.
Selecione o Início para abrir o editor avançado da KQL (Linguagem de Consulta Kusto) e a pré-visualização dos resultados de um intervalo de tempo definido.
Altere a consulta da KQL conforme necessário e selecione Executar, para obter uma visualização atualizada dos resultados da pesquisa.
Quando estiver satisfeito com a consulta e a visualização dos resultados da pesquisa, selecione as reticências ... e ative o Modo de trabalho da pesquisa.
Selecione o Intervalo de tempo apropriado.
Resolva quaisquer problemas da KQL indicados por uma linha vermelha curvada no editor.
Quando estiver pronto para iniciar o trabalho de pesquisa, selecione Trabalho de pesquisa.
Insira um novo nome de tabela para armazenar os resultados do trabalho de pesquisa.
Selecione Executar um trabalho de pesquisa.
Aguarde a notificação O trabalho de pesquisa foi concluído, para visualizar os resultados.
Exibir resultados do trabalho de pesquisa
Exiba o status e os resultados do trabalho de pesquisa acessando a guia Pesquisas salvas.
No Microsoft Sentinel, selecione Pesquisar>Pesquisas Salvas.
No cartão de pesquisa, selecione Exibir resultados da pesquisa.
Por padrão, você verá todos os resultados correspondentes aos critérios de pesquisa originais.
Para refinar a lista de resultados retornados da tabela de pesquisa, selecione Adicionar filtro.
Ao examinar os resultados do trabalho de pesquisa, selecione Adicionar indicador ou selecione o ícone de indicador para preservar uma linha. Adicionar um indicador permite marcar eventos, adicionar anotações e anexar esses eventos a um incidente para referência posterior.
Selecione o botão Colunas e selecione a caixa de seleção ao lado das colunas a adicionar à exibição de resultados.
Adicione o filtro Indicado para mostrar apenas as entradas preservadas.
Selecione Exibir todos os indicadores para acessar a página Busca, na qual você poderá adicionar um indicador a um incidente existente.
Próximas etapas
Para saber mais, leia os artigos a seguir.