Starta en undersökning genom att söka efter händelser i stora datamängder
En av de primära aktiviteterna i ett säkerhetsteam är att söka efter specifika händelser i loggarna. Du kan till exempel söka i loggar efter aktiviteter för en viss användare inom en viss tidsram.
I Microsoft Sentinel kan du söka över långa tidsperioder i extremt stora datamängder med hjälp av ett sökjobb. Du kan köra ett sökjobb på alla typer av loggar, men sökjobb passar perfekt för att söka efter loggar i ett långsiktigt kvarhållningstillstånd (kallades tidigare arkiv). Om du behöver göra en fullständig undersökning av sådana data kan du återställa dessa data till ett interaktivt kvarhållningstillstånd, till exempel dina vanliga Log Analytics-tabeller, för att köra högpresterande frågor och djupare analys.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Söka i stora datamängder
Använd ett sökjobb när du startar en undersökning för att hitta specifika händelser i loggar inom en viss tidsram. Du kan söka i alla loggar för att hitta händelser som matchar dina kriterier och filtrera igenom resultaten.
Sökning i Microsoft Sentinel bygger på sökjobb. Sökjobb är asynkrona frågor som hämtar poster. Resultaten returneras till en söktabell som skapas på Log Analytics-arbetsytan när du har startat sökjobbet. Sökjobbet använder parallell bearbetning för att köra sökningen över långa tidsperioder, i extremt stora datamängder. Så sökjobb påverkar inte arbetsytans prestanda eller tillgänglighet.
Sökresultat lagras i en tabell med namnet med ett _SRCH
suffix.
Följande bild visar exempel på sökvillkor för ett sökjobb.
Loggtyper som stöds
Använd sökfunktionen för att hitta händelser i någon av följande loggtyper:
Du kan också söka efter analysdata eller grundläggande loggdata som lagras i långsiktig kvarhållning.
Begränsningar för ett sökjobb
Innan du startar ett sökjobb bör du vara medveten om följande begränsningar:
- Optimerad för att köra frågor mot en tabell i taget.
- Sökdatumintervallet är upp till sju år.
- Stöder tidskrävande sökningar upp till en tidsgräns på 24 timmar.
- Resultaten är begränsade till en miljon poster i postuppsättningen.
- Samtidig körning per användare är begränsad till fem sökjobb per arbetsyta.
- Begränsat till 100 sökresultattabeller per arbetsyta.
- Begränsat till 100 körningar av sökjobb per dag per arbetsyta.
Sökjobb stöds för närvarande inte för följande arbetsytor:
- Kundhanterade nyckelaktiverade arbetsytor
- Arbetsytor i regionen Kina, östra 2
Mer information finns i Sökjobb i Azure Monitor i Azure Monitor-dokumentationen.
Återställa historiska data från arkiverade loggar
När du behöver göra en fullständig undersökning av data som lagras i arkiverade loggar återställer du en tabell från söksidan i Microsoft Sentinel. Ange en måltabell och ett tidsintervall för de data som du vill återställa. Inom några minuter återställs loggdata och är tillgängliga på Log Analytics-arbetsytan. Sedan kan du använda data i högpresterande frågor som stöder fullständig KQL.
En återställd loggtabell är tillgänglig i en ny tabell som har ett *_RST suffix. Återställde data är tillgängliga så länge som underliggande källdata är tillgängliga. Men du kan ta bort återställde tabeller när som helst utan att ta bort underliggande källdata. För att spara kostnader rekommenderar vi att du tar bort den återställde tabellen när du inte längre behöver den.
Följande bild visar återställningsalternativet för en sparad sökning.
Begränsningar för loggåterställning
Innan du börjar återställa en arkiverad loggtabell bör du vara medveten om följande begränsningar:
- Återställ data i minst två dagar.
- Återställ data som är mer än 14 dagar gamla.
- Återställ upp till 60 TB.
- Återställningen är begränsad till en aktiv återställning per tabell.
- Återställ upp till fyra arkiverade tabeller per arbetsyta och vecka.
- Begränsat till två samtidiga återställningsjobb per arbetsyta.
Mer information finns i Återställa loggar i Azure Monitor.
Bokmärkessökresultat eller återställde datarader
På samma sätt som instrumentpanelen för hotjakt bokmärkesrader som innehåller information som du tycker är intressant så att du kan koppla dem till en incident eller referera till dem senare. Mer information finns i Skapa bokmärken.