你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过搜索大型数据集中的事件开始调查
安全团队的主要活动之一是搜索特定事件的日志。 例如,可以在日志中搜索给定时间范围内特定用户的活动。
在 Microsoft Sentinel 中,可以使用搜索作业在极大型数据集中长时间进行搜索。 虽然可以对任何类型的日志运行搜索作业,但搜索作业最适合搜索处于长期保留(以前称为存档)状态的日志。 如果需要对此类数据进行全面调查,可以将这些数据还原为交互式保留状态(例如常规 Log Analytics 表),以运行高性能查询和更深入的分析。
重要
Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
搜索大型数据集
开始调查时使用搜索作业在给定时间范围内的日志中查找特定事件。 可以搜索所有日志来并查找符合条件的事件,然后筛选结果。
Microsoft Sentinel 中的搜索建立在搜索作业的基础之上。 搜索作业是提取记录的异步查询。 启动搜索作业后,结果将返回到在 Log Analytics 工作区中创建的搜索表。 搜索作业使用并行处理在非常大的数据集中运行跨长时间跨度的搜索。 因此,搜索作业不会影响工作区的性能或可用性。
搜索结果存储在以 _SRCH 后缀命名的表中。
下图显示了搜索作业的示例搜索条件。
支持的日志类型
使用搜索在以下任何日志类型中查找事件:
还可以搜索长期保留存储的分析数据或基本日志数据。
搜索作业的限制
在开始搜索作业之前,请注意以下限制:
- 优化为一次查询一个表。
- 搜索日期范围最长为七年。
- 支持长达 24 小时超时的长时间运行搜索。
- 结果限制为记录集中的 100 万条记录。
- 每用户并发执行限制为每个工作区 5 个搜索作业。
- 每个工作区限制为 100 个搜索结果表。
- 每个工作区每天只能执行 100 个搜索作业。
以下工作区目前不支持搜索作业:
- 已启用客户管理的密钥的工作区
- 中国东部 2 区域中的工作区
有关详细信息,请参阅 Azure Monitor 文档中的 Azure Monitor 中的搜索作业。
从存档日志还原历史数据
当需要对存档日志中存储的数据进行全面调查时,请从 Microsoft Sentinel 中的“搜索”页还原一个表。 指定要还原的数据的目标表和时间范围。 几分钟内,日志数据就会还原,并在 Log Analytics 工作区中可用。 然后,可以在支持完整 KQL 的高性能查询中使用该数据。
还原的日志表位于一个后缀为 *_RST 的新表中。 只要基础源数据可用,还原的数据就可用。 但是,随时可以删除已还原的表,而无需删除基础源数据。 为了节省成本,建议在不再需要已还原的表时将其删除。
下图显示了已保存搜索的还原选项。
日志还原的限制
在开始还原存档的日志表之前,请注意以下限制:
- 将数据还原至少两天。
- 还原超过 14 天的数据。
- 最多可还原 60 TB。
- 还原限制为每个表一个活动还原。
- 每周每个工作区最多还原四个存档表。
- 每个工作区限制为两个并行还原作业。
有关详细信息,请参阅 在 Azure Monitor 中还原日志。
为搜索结果或还原的数据行添加书签
与威胁搜寻仪表板类似,请为包含你感兴趣的信息的行添加书签,以便将它们附加到事件或稍后引用它们。 有关详细信息,请参阅创建书签。