Sdílet prostřednictvím

Zahájení šetření hledáním událostí ve velkých datových sadách

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Jednou z hlavních aktivit bezpečnostního týmu je vyhledání protokolů pro konkrétní události. Můžete například hledat protokoly pro aktivity konkrétního uživatele v daném časovém rámci.

V Microsoft Sentinelu můžete pomocí úlohy vyhledávání vyhledávat v extrémně velkých datových sadách dlouhé časové období. I když můžete spustit úlohu vyhledávání v libovolném typu protokolu, úlohy hledání jsou ideální pro vyhledávání archivovaných protokolů. Pokud potřebujete provést úplné šetření archivovaných dat, můžete tato data obnovit do horké mezipaměti, abyste mohli spouštět vysoce výkonné dotazy a hlubší analýzu.

Důležité

Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Hledání velkých datových sad

Když zahájíte šetření, použijte úlohu vyhledávání k vyhledání konkrétních událostí v protokolech v daném časovém rámci. Ve všech protokolech můžete vyhledat události, které odpovídají vašim kritériím, a filtrovat výsledky.

Vyhledávání v Microsoft Sentinelu je postavené na úlohách hledání. Vyhledávací úlohy jsou asynchronní dotazy, které načítají záznamy. Výsledky se vrátí do vyhledávací tabulky vytvořené v pracovním prostoru služby Log Analytics po spuštění úlohy vyhledávání. Úloha vyhledávání používá paralelní zpracování ke spuštění hledání napříč dlouhými časovými rozsahy v extrémně velkých datových sadách. Proto úlohy vyhledávání nemají vliv na výkon ani dostupnost pracovního prostoru.

Výsledky hledání se ukládají v tabulce, která má příponu *_SRCH.

Následující obrázek ukazuje příklad kritérií hledání pro úlohu hledání.

Snímek obrazovky vyhledávací stránky s kritérii hledání správce, časovým rozsahem za posledních 1 rok a vybranou tabulkou

Podporované typy protokolů

Pomocí vyhledávání vyhledejte události v některém z následujících typů protokolů:

Můžete také prohledávat analýzy nebo základní data protokolu uložená v archivovaných protokolech.

Omezení úlohy vyhledávání

Před zahájením úlohy vyhledávání si uvědomte následující omezení:

  • Optimalizováno pro dotazování na jednu tabulku najednou.
  • Rozsah dat hledání je až sedm let.
  • Podporuje dlouhotrvající hledání až 24hodinový časový limit.
  • Výsledky jsou omezené na jeden milion záznamů v sadě záznamů.
  • Souběžné spouštění je omezené na pět úloh hledání na jeden pracovní prostor.
  • Omezeno na 100 tabulek výsledků hledání na pracovní prostor.
  • Omezeno na 100 spuštění úloh vyhledávání za den na pracovní prostor.

Úlohy vyhledávání se v současné době nepodporují pro následující pracovní prostory:

  • Pracovní prostory s povoleným klíčem spravovaným zákazníkem
  • Pracovní prostory v oblasti Čína – východ 2

Další informace najdete v tématu Úloha vyhledávání ve službě Azure Monitor v dokumentaci ke službě Azure Monitor.

Obnovení historických dat z archivovaných protokolů

Pokud potřebujete provést úplné šetření dat uložených v archivovaných protokolech, obnovte tabulku ze stránky Vyhledávání v Microsoft Sentinelu. Zadejte cílovou tabulku a časový rozsah dat, která chcete obnovit. Během několika minut se data protokolu obnoví a zpřístupní v pracovním prostoru služby Log Analytics. Data pak můžete použít v vysoce výkonných dotazech, které podporují úplné KQL.

Obnovená tabulka protokolu je dostupná v nové tabulce, která má příponu *_RST. Obnovená data jsou k dispozici, pokud jsou k dispozici podkladová zdrojová data. Obnovené tabulky ale můžete kdykoli odstranit bez odstranění podkladových zdrojových dat. Pokud chcete ušetřit náklady, doporučujeme odstranit obnovenou tabulku, když ji už nepotřebujete.

Následující obrázek znázorňuje možnost obnovení uloženého hledání.

Snímek obrazovky s odkazem pro obnovení uloženého hledání

Omezení obnovení protokolu

Než začnete obnovovat archivovanou tabulku protokolů, mějte na paměti následující omezení:

  • Obnovte data minimálně po dobu dvou dnů.
  • Obnovte data starší než 14 dní.
  • Obnovte až 60 TB.
  • Obnovení je omezené na jedno aktivní obnovení na tabulku.
  • Obnovte až čtyři archivované tabulky na pracovní prostor za týden.
  • Omezeno na dvě souběžné úlohy obnovení na pracovní prostor.

Další informace najdete v tématu Obnovení protokolů ve službě Azure Monitor.

Záložka výsledků hledání nebo obnovené řádky dat

Podobně jako na řídicím panelu proaktivního vyhledávání hrozeb jsou řádky záložek, které obsahují zajímavé informace, abyste je mohli připojit k incidentu nebo na ně odkazovat později. Další informace najdete v tématu Vytváření záložek.

Další kroky