Поделиться через

Поиск определенных событий в больших наборах данных в Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Используйте поисковую задачу, когда вы начинаете расследование, чтобы просмотреть до года данных в таблице для определенных событий. Задание поиска можно выполнять в любой таблице, включая таблицы с планами аналитики, базовых и вспомогательных журналов. Задание поиска отправляет результаты в новую таблицу Аналитики в той же рабочей области, что и исходные данные.

В этой статье объясняется, как запустить задание поиска в Microsoft Sentinel и как работать с результатами задания поиска.

Поиск работы в определенных наборах данных может привести к дополнительным расходам. Дополнительные сведения см. на странице цен Microsoft Sentinel.

Внимание

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.

Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.

Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.

Запуск задания поиска

Перейдите к Поиск в Microsoft Sentinel с портала Azure или портала Microsoft Defender, чтобы ввести условия поиска. Время поиска варьируется в зависимости от размера целевого набора данных. Хотя большинство поисковых заданий занимает несколько минут, поиск по большим наборам данных, которые могут выполняться до 24 часов, также поддерживается.

  1. Для Microsoft Sentinel в портале Defender выберите Microsoft Sentinel и >. Для Microsoft Sentinel в портал Azure в разделе "Общие" выберите "Поиск".

  2. Выберите меню "Таблица" и выберите таблицу для поиска.

  3. В поле поиска введите условие поиска.

  4. Выберите Start, чтобы открыть расширенный редактор языка запросов Kusto (KQL) и предварительный просмотр результатов для заданного диапазона времени.

  5. Измените запрос KQL по мере необходимости и нажмите кнопку "Выполнить ", чтобы получить обновленную предварительную версию результатов поиска.

    Снимок экрана редактора KQL с измененным поиском.

  6. Если вы удовлетворены запросом и предварительным просмотром результатов поиска, выберите многоточие ... и переключите режим задания поиска.

    Снимок экрана редактора KQL с измененным поиском с многоточием, выделенным для режима задания поиска.

  7. Укажите диапазон дат задания поиска с помощью селектора диапазона времени . Если запрос также задает диапазон времени, Microsoft Sentinel выполняет задание поиска на объединении диапазонов времени.

  8. Устраните все проблемы KQL, указанные красной линией в редакторе.

  9. Когда вы будете готовы начать задание поиска, выберите задание поиска.

  10. Введите новое имя таблицы для хранения результатов задания поиска.

  11. Выберите Запустить задачу поиска.

  12. Дождитесь уведомления о завершении задания поиска, чтобы просмотреть результаты.

Просмотр результатов задания поиска

Просмотрите состояние и результаты задания поиска на вкладке Сохраненные поисковые запросы.

  1. В Microsoft Sentinel выберите "Поиск>сохраненных поисков".

  2. На карточке поиска выберите Просмотреть результаты поиска.

    Снимок экрана: ссылка для просмотра результатов поиска в нижней части карточки задания поиска.

    По умолчанию отображаются все результаты, соответствующие исходным условиям поиска.

  3. Чтобы уточнить список результатов, возвращаемых из таблицы поиска, нажмите кнопку "Добавить фильтр".

  4. При просмотре результатов задания поиска нажмите кнопку "Добавить закладку" или щелкните значок закладки, чтобы сохранить строку. Добавление закладки позволяет добавлять события, добавлять заметки и присоединять эти события к инциденту для последующей ссылки.

    Снимок экрана: результаты задания поиска с закладкой в процессе добавления.

  5. Нажмите кнопку "Столбцы" и установите флажок рядом с столбцами, которые вы хотите добавить в представление результатов.

  6. Добавьте фильтр закладки, чтобы отобразить только сохраненные записи.

  7. Выберите «Просмотреть все закладки», чтобы перейти на страницу «Охота», где можно добавить закладку в существующий инцидент.

Следующие шаги

Дополнительные сведения см. в следующих статьях.