在大型資料集中進行較長時間範圍的搜尋
請在開始調查時使用搜尋作業,以在最多七年內的記錄中尋找特定事件。 您可以在所有記錄中搜尋事件,包括分析、基本和封存記錄方案中的事件。 篩選並尋找符合您準則的事件。
如需搜尋作業概念及限制的詳細資訊,請參閱搜尋大型資料集以開始調查和 Azure 監視器中的搜尋作業。
在特定資料集中搜尋作業可能會產生額外費用。 如需詳細資訊,請參閱 Microsoft Sentinel 定價頁面。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
開始搜尋作業
從 Azure 入口網站或 Microsoft Defender 入口網站,移至 Microsoft Sentinel 中的 [搜尋],以輸入您的搜尋準則。 搜尋時間會因目標資料集的大小而有所不同。 雖然大部分的搜尋作業只要幾分鐘的時間就能完成,但也支援在大型資料集中進行長達 24 小時的搜尋。
針對 Azure 入口網站中的 Microsoft Sentinel,在 [一般] 下,選取 [搜尋]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[搜尋]。選取 [資料表] 功能表,然後選擇您搜尋的資料表。
在 [搜尋] 方塊中,輸入搜尋字詞。
選取 [開始],以開啟進階 Kusto 查詢語言 (KQL) 編輯器,並預覽設定時間範圍的結果。
視需要變更 KQL 查詢,然後選取 [執行],以取得搜尋結果的更新預覽。
當您滿意查詢和搜尋結果預覽時,請選取省略號 [...] 並將 [搜尋作業模式] 切換為 [開啟]。
選取適當的時間範圍。
解決編輯器中以紅色曲線指出的任何 KQL 問題。
當您準備好開始搜尋作業時,請選取 [搜尋作業]。
輸入新的資料表名稱來儲存搜尋作業結果。
選取 [執行搜尋作業]。
等候 [搜尋作業完成] 通知,以檢視結果。
檢視搜尋作業結果
移至 [儲存的搜尋] 索引標籤,以檢視搜尋作業的狀態和結果。
在 Microsoft Sentinel 中,選取 [搜尋]>[儲存的搜尋]。
在搜尋卡片上,選取 [檢視搜尋結果]。
根據預設,您會看到符合原始搜尋準則的所有結果。
若要精簡搜尋資料表傳回的結果清單,請選取 [新增篩選]。
當您檢閱搜尋作業結果時,請選取 [新增書籤] 或選取書籤圖示以保留資料列。 新增書籤可讓您標記事件、新增備註,並將這些事件 (event) 附加至事件 (incident) 供日後參考。
選取 [資料行] 按鈕,然後選取您想要新增至結果檢視之資料行旁的核取方塊。
新增「已加入書籤」的篩選,只顯示保留的項目。
選取 [檢視所有書籤] 以移至 [搜捕] 頁面,以便將書籤新增至現有事件。
下一步
如需詳細資訊,請參閱下列文章。