Pesquisar em períodos de tempo longos em grandes conjuntos de dados
Use um trabalho de pesquisa ao iniciar uma investigação para encontrar eventos específicos em logs de até sete anos atrás. Você pode pesquisar eventos em todos os seus logs, incluindo eventos nos planos de log Analytics, Basic e Archived. Filtre e procure eventos que correspondam aos seus critérios.
Para obter mais informações sobre conceitos e limitações de trabalho de pesquisa, consulte Iniciar uma investigação pesquisando grandes conjuntos de dados e Pesquisar trabalhos no Azure Monitor.
Procurar trabalhos em determinados conjuntos de dados pode incorrer em custos adicionais. Para obter mais informações, consulte a página de preços do Microsoft Sentinel.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Iniciar uma pesquisa de emprego
Vá para Pesquisar no Microsoft Sentinel no portal do Azure ou no portal do Microsoft Defender para inserir seus critérios de pesquisa. Dependendo do tamanho do conjunto de dados de destino, os tempos de pesquisa variam. Embora a maioria dos trabalhos de pesquisa demore alguns minutos para ser concluída, as pesquisas em conjuntos de dados massivos que são executadas até 24 horas também são suportadas.
Para Microsoft Sentinel no portal do Azure, em Geral, selecione Pesquisar.
Para Microsoft Sentinel no portal Defender, selecione Microsoft Sentinel>Search.Selecione o menu Tabela e escolha uma tabela para a sua pesquisa.
Na caixa Pesquisar, insira um termo de pesquisa.
Selecione Iniciar para abrir o editor avançado Kusto Query Language (KQL) e visualizar os resultados para um intervalo de tempo definido.
Altere a consulta KQL conforme necessário e selecione Executar para obter uma visualização atualizada dos resultados da pesquisa.
Quando estiver satisfeito com a consulta e a visualização dos resultados da pesquisa, selecione as reticências e ative o modo Pesquisar trabalho.
Selecione o intervalo de tempo apropriado.
Resolva quaisquer problemas de KQL indicados por uma linha vermelha ondulada no editor.
Quando estiver pronto para iniciar a pesquisa, selecione Pesquisar vaga.
Insira um novo nome de tabela para armazenar os resultados do trabalho de pesquisa.
Selecione Executar um trabalho de pesquisa.
Aguarde a notificação O trabalho de pesquisa é feito para visualizar os resultados.
Ver resultados da pesquisa de emprego
Veja o estado e os resultados do seu trabalho de pesquisa acedendo ao separador Pesquisas Guardadas .
No Microsoft Sentinel, selecione Pesquisar>pesquisas salvas.
No cartão de pesquisa, selecione Ver resultados da pesquisa.
Por padrão, você vê todos os resultados que correspondem aos seus critérios de pesquisa originais.
Para refinar a lista de resultados retornados da tabela de pesquisa, selecione Adicionar filtro.
À medida que revê os resultados da pesquisa, selecione Adicionar marcador ou selecione o ícone de marcador para preservar uma linha. Adicionar um marcador permite marcar eventos, adicionar notas e anexar esses eventos a um incidente para referência posterior.
Selecione o botão Colunas e selecione a caixa de verificação junto às colunas que pretende adicionar à vista de resultados.
Adicione o filtro Marcador para mostrar apenas entradas preservadas.
Selecione Ver todos os favoritos para ir para a página Caça, onde pode adicionar um marcador a um incidente existente.
Próximos passos
Para saber mais, consulte os seguintes artigos.