Поделиться через

Восстановление архивированных журналов из поиска

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Вы можете восстановить данные из архивного журнала, чтобы использовать их в высокопроизводительных запросах и аналитике.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

Перед восстановлением данных из архивного журнала ознакомьтесь со статьями о начале исследования с поиска в больших наборах данных (предварительная версия) и восстановлении журналов в Azure Monitor.

Восстановление данных из архивных журналов

Чтобы восстановить архивный журнал в Microsoft Sentinel, укажите таблицу и диапазон времени для данных, которые нужно восстановить. В течение нескольких минут данные журнала станут доступными в рабочей области Log Analytics. Затем можно использовать данные в высокопроизводительных запросах, поддерживающих полные язык запросов Kusto (KQL).

Восстановите архивированные данные непосредственно на странице поиска или из сохраненного поиска.

  1. В Microsoft Sentinel выберите "Поиск". На портал Azure эта страница указана в разделе "Общие". На портале Defender эта страница находится на корневом уровне Microsoft Sentinel.

  2. Восстановление данных журнала с помощью одного из следующих методов:

    • Выберите " Восстановить" в верхней части страницы. В области "Восстановление" на стороне выберите диапазон времени и таблицы, который требуется восстановить, а затем выберите "Восстановить" в нижней части области.

    • Выберите "Сохраненные поиски", найдите результаты поиска, которые требуется восстановить, а затем нажмите кнопку "Восстановить". Если у вас несколько таблиц, выберите один из них, который вы хотите восстановить, а затем выберите "Действия > восстановления " на боковой панели. Например:

      Снимок экрана: восстановление определенного поиска сайта.

  3. Дождитесь восстановления данных журнала. Проверьте статус этого задания на вкладке Восстановление.

Просмотр восстановленных данных журнала

Перейдите на вкладку Восстановление, чтобы проверить статус восстановления данных журнала и просмотреть результаты. Вы сможете просмотреть восстановленные данные, когда для состояния задания восстановления отобразится значение Данные доступны.

  1. В Microsoft Sentinel выберите "Восстановление поиска>".

  2. После завершения задания восстановления и обновления состояния выберите имя таблицы и просмотрите результаты.

    В портал Azure результаты отображаются на странице запроса журналов. На портале Defender результаты отображаются на странице расширенной охоты.

    Например:

    Снимок экрана: область запросов журналов с восстановленными результатами таблицы.

    Для параметра Диапазон времени буден задан пользовательский диапазон со временем начала и окончания для восстановленных данных.

Удаление восстановленных таблиц данных

Чтобы сократить затраты, рекомендуется удалить восстановленную таблицу, если она больше не нужна. При удалении восстановленной таблицы базовые исходные данные не удаляются.

  1. В Microsoft Sentinel выберите "Восстановление поиска>" и определите таблицу, которую требуется удалить.

  2. Выберите "Удалить " для этой строки таблицы, чтобы удалить восстановленную таблицу.

Следующие шаги