Поделиться через

Поиск определенных событий в больших наборах данных в Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Используйте задание поиска для получения данных, хранящихся в долгосрочном хранении, или для сканирования больших объемов данных, если время ожидания запроса журнала не хватает 10 минут. Задание поиска сканирует данные за период до одного года в таблице в поисках определенных событий. Задание поиска отправляет результаты в новую таблицу Аналитики в той же рабочей области, что и исходные данные.

В этой статье объясняется, как запустить задание поиска в Microsoft Sentinel и как работать с результатами задания поиска.

Поиск работы в определенных наборах данных может привести к дополнительным расходам. Дополнительные сведения см. на странице цен Microsoft Sentinel.

Внимание

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.

Вопросы реализации

Смотрите Условия поиска работы в документации по Azure Monitor.

Запуск задания поиска

Перейдите к Поиск в Microsoft Sentinel с портала Azure или портала Microsoft Defender, чтобы ввести условия поиска. Время поиска варьируется в зависимости от размера целевого набора данных. Хотя большинство поисковых заданий занимает несколько минут, поиск по большим наборам данных, которые могут выполняться до 24 часов, также поддерживается.

  1. Для Microsoft Sentinel в портале Defender выберите Microsoft Sentinel и >. Для Microsoft Sentinel в портал Azure в разделе "Общие" выберите "Поиск".

  2. Выберите меню "Таблица" и выберите таблицу для поиска.

  3. В поле поиска введите условие поиска.

  4. Выберите "Пуск ", чтобы просмотреть результаты для заданного диапазона времени в простом режиме. При необходимости перейдите в раскрывающееся меню и перейдите из простого режима в режим KQL , чтобы открыть расширенный редактор языка запросов Kusto (KQL).

  5. Измените запрос KQL по мере необходимости и нажмите кнопку "Выполнить ", чтобы получить обновленную предварительную версию результатов поиска. Устраните все проблемы KQL, указанные красной линией в редакторе.

    Снимок экрана редактора KQL с измененным поиском.

  6. Когда вы удовлетворены запросом и предварительным просмотром результатов поиска, выберите многоточие ... и выберите задание поиска , чтобы открыть окно "Режим задания поиска ".

    Снимок экрана редактора KQL с измененным поиском с многоточием, выделенным для выбора задания поиска, которое откроет окно

  7. Укажите диапазон дат задания поиска с помощью селектора диапазона времени . Если запрос также задает диапазон времени, Microsoft Sentinel выполняет задание поиска на объединении диапазонов времени.

  8. Введите новое имя таблицы для хранения результатов задания поиска.

  9. Выберите запуск задания поиска.

  10. Дождитесь уведомления Задание поиска выполнено и нажмите кнопку, чтобы перейти к таблице и просмотреть результаты.

Просмотр результатов задания поиска

Просмотрите состояние и результаты задания поиска на вкладке Сохраненные поисковые запросы.

  1. В Microsoft Sentinel выберите "Поиск>сохраненных поисков".

  2. На карточке поиска выберите Просмотреть результаты поиска.

    Снимок экрана: ссылка для просмотра результатов поиска в нижней части карточки задания поиска.

    По умолчанию отображаются все результаты, соответствующие исходным условиям поиска.

  3. Чтобы уточнить список результатов, возвращаемых из таблицы поиска, нажмите кнопку "Добавить фильтр".

  4. При просмотре результатов задания поиска нажмите кнопку "Добавить закладку" или щелкните значок закладки, чтобы сохранить строку. Добавление закладки позволяет добавлять события, добавлять заметки и присоединять эти события к инциденту для последующей ссылки.

    Снимок экрана: результаты задания поиска с закладкой в процессе добавления.

  5. Нажмите кнопку "Столбцы" и установите флажок рядом с столбцами, которые вы хотите добавить в представление результатов.

  6. Добавьте фильтр закладки, чтобы отобразить только сохраненные записи.

  7. Выберите «Просмотреть все закладки», чтобы перейти на страницу «Охота», где можно добавить закладку в существующий инцидент.

Следующие шаги

Дополнительные сведения см. в следующих статьях.

  • Last updated on