Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Одной из основных задач команды по безопасности является поиск в журналах конкретных событий. Например, вы можете искать в журналах действия конкретного пользователя за определенный промежуток времени.
В Microsoft Sentinel можно выполнять поиск по длинным периодам времени в чрезвычайно больших наборах данных с помощью задания поиска. Хотя вы можете запустить задание поиска в любом типе журнала, задания поиска идеально подходят для поиска журналов в долгосрочном хранении (ранее известном как архив). Если необходимо выполнить полное исследование таких данных, вы можете восстановить эти данные в интерактивном состоянии хранения( например, в обычных таблицах Log Analytics), чтобы выполнять высокопроизводительные запросы и более глубокий анализ.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Поиск крупных наборов данных
Используйте задание поиска для получения данных, хранящихся в долгосрочном хранении, или для сканирования больших объемов данных, если время ожидания запроса журнала не хватает 10 минут. Задания поиска — это асинхронные запросы, которые извлекают записи в таблицу поиска в рабочей области Log Analytics. Задание поиска использует параллельную обработку для поиска в течение длительного периода времени в очень больших наборах данных, поэтому задания поиска не влияют на производительность или доступность рабочей области.
Результаты поиска хранятся в таблице с суффиксом _SRCH .
На этом рисунке показаны примеры условий поиска для задания поиска.
Восстановление данных журнала из долгосрочного хранения
Когда необходимо выполнить всестороннее исследование данных журнала в долгосрочном хранении, восстановите таблицу со страницы поиска в Microsoft Sentinel. Укажите целевую таблицу и диапазон времени для восстанавливаемых данных. В течение нескольких минут данные журналов восстановятся и станут доступными в рабочей области Log Analytics. Затем эти данные можно будет использовать в высокопроизводительных запросах, поддерживающих полную строку запроса KQL.
Восстановленная таблица журнала доступна в новой таблице с суффиксом *_RST. Восстановленные данные доступны при условии доступности базовых исходных данных. Но восстановленные таблицы можно удалить в любое время, сохраняя базовые исходные данные. Чтобы сократить затраты, рекомендуется удалить восстановленную таблицу, если она больше не нужна.
На рисунке ниже показан параметр восстановления для сохраненного поиска.
Ограничения восстановления журнала
Сведения об ограничениях восстановления см. в документации по Azure Monitor.
Результаты поиска закладок или восстановленные строки данных
Как и в случае с панелью мониторинга поиска угроз, добавляйте в закладки строки, содержащие интересную информацию, чтобы вы могли прикрепить их к инциденту или обратиться к ним позже. Дополнительные сведения см. в разделе "Создание закладок".