從搜尋中還原已封存的記錄
從封存的記錄還原資料,以用於高效能的查詢和分析。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
在封存記錄中還原資料之前,請參閱搜尋大型資料集以開始調查 (預覽版) 和在 Azure 監視器中還原。
還原封存的記錄資料
若要在 Microsoft Sentinel 中還原封存的記錄資料,請指定您要還原之資料的資料表和時間範圍。 在幾分鐘內,Log Analytics 工作區內就會提供記錄資料。 然後,您就可以在支援完整 Kusto 查詢語言 (KQL) 的高效能查詢中使用該資料。
直接從 [搜尋] 頁面或儲存的搜尋來還原封存的資料。
在 Microsoft Sentinel 中,選取 [搜尋]。 在 [Azure 入口網站] 中,此頁面列在 [一般] 下。 在 [Defender 入口網站] 中,此頁面位於 Microsoft Sentinel 根層級。
使用下列其中一種方法還原記錄資料:
選取頁面頂端的 [還原]
。 在側邊的 [還原] 窗格中,選取要還原的資料表和時間範圍,然後選取 [窗格底端的 [還原]]。選取 [儲存的搜尋],尋找要還原的搜尋結果,然後選取 [還原]。 如果有多個資料表,請選取要還原的資料表,然後在側邊窗格中選取 [動作>還原]。 例如:
等候記錄資料還原。 選取 [還原] 索引標籤,以檢視還原作業的狀態。
檢視已還原的記錄資料
移至 [還原] 索引卷標,以檢視記錄資料還原的狀態和結果。當還原作業的狀態顯示 [可用資料]時,您可以檢視還原的資料。
在 Microsoft Sentinel 中,選取 [搜尋]>[儲存]。
還原工作完成且狀態更新後,選取資料表名稱並檢閲結果。
在 [Azure 入口網站] 中,結果顯示在 [記錄] 査詢頁面中。 在 [Defender 入口網站] 中,結果顯示在 [進階搜捕] 頁面中。
例如:
[時間範圍] 會設定為使用還原資料的開始和結束時間的自訂時間範圍。
刪除已還原的資料表
若要節省成本,建議您在不再需要時刪除還原的資料表。 當您删除還原的資料表時,不會删除基礎來源資料。
在 Microsoft Sentinel 中,選取 [搜尋]>[復原] 並確定要删除的資料表。
為該資料表列選取 [删除] 以删除已還原的資料表。