Zahájení šetření hledáním událostí ve velkých datových sadách
Jednou z hlavních aktivit bezpečnostního týmu je vyhledání protokolů pro konkrétní události. Můžete například hledat protokoly pro aktivity konkrétního uživatele v daném časovém rámci.
V Microsoft Sentinelu můžete pomocí úlohy vyhledávání vyhledávat v extrémně velkých datových sadách dlouhé časové období. I když můžete spustit úlohu vyhledávání v libovolném typu protokolu, úlohy hledání jsou ideální pro vyhledávání archivovaných protokolů. Pokud potřebujete provést úplné šetření archivovaných dat, můžete tato data obnovit do horké mezipaměti, abyste mohli spouštět vysoce výkonné dotazy a hlubší analýzu.
Důležité
Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Hledání velkých datových sad
Když zahájíte šetření, použijte úlohu vyhledávání k vyhledání konkrétních událostí v protokolech v daném časovém rámci. Ve všech protokolech můžete vyhledat události, které odpovídají vašim kritériím, a filtrovat výsledky.
Vyhledávání v Microsoft Sentinelu je postavené na úlohách hledání. Vyhledávací úlohy jsou asynchronní dotazy, které načítají záznamy. Výsledky se vrátí do vyhledávací tabulky vytvořené v pracovním prostoru služby Log Analytics po spuštění úlohy vyhledávání. Úloha vyhledávání používá paralelní zpracování ke spuštění hledání napříč dlouhými časovými rozsahy v extrémně velkých datových sadách. Proto úlohy vyhledávání nemají vliv na výkon ani dostupnost pracovního prostoru.
Výsledky hledání se ukládají v tabulce, která má příponu *_SRCH.
Následující obrázek ukazuje příklad kritérií hledání pro úlohu hledání.
Podporované typy protokolů
Pomocí vyhledávání vyhledejte události v některém z následujících typů protokolů:
Můžete také prohledávat analýzy nebo základní data protokolu uložená v archivovaných protokolech.
Omezení úlohy vyhledávání
Před zahájením úlohy vyhledávání si uvědomte následující omezení:
- Optimalizováno pro dotazování na jednu tabulku najednou.
- Rozsah dat hledání je až sedm let.
- Podporuje dlouhotrvající hledání až 24hodinový časový limit.
- Výsledky jsou omezené na jeden milion záznamů v sadě záznamů.
- Souběžné spouštění na uživatele je omezené na pět úloh hledání na pracovní prostor.
- Omezeno na 100 tabulek výsledků hledání na pracovní prostor.
- Omezeno na 100 spuštění úloh vyhledávání za den na pracovní prostor.
Úlohy vyhledávání se v současné době nepodporují pro následující pracovní prostory:
- Pracovní prostory s povoleným klíčem spravovaným zákazníkem
- Pracovní prostory v oblasti Čína – východ 2
Další informace najdete v tématu Úloha vyhledávání ve službě Azure Monitor v dokumentaci ke službě Azure Monitor.
Obnovení historických dat z archivovaných protokolů
Pokud potřebujete provést úplné šetření dat uložených v archivovaných protokolech, obnovte tabulku ze stránky Vyhledávání v Microsoft Sentinelu. Zadejte cílovou tabulku a časový rozsah dat, která chcete obnovit. Během několika minut se data protokolu obnoví a zpřístupní v pracovním prostoru služby Log Analytics. Data pak můžete použít v vysoce výkonných dotazech, které podporují úplné KQL.
Obnovená tabulka protokolu je dostupná v nové tabulce, která má příponu *_RST. Obnovená data jsou k dispozici, pokud jsou k dispozici podkladová zdrojová data. Obnovené tabulky ale můžete kdykoli odstranit bez odstranění podkladových zdrojových dat. Pokud chcete ušetřit náklady, doporučujeme odstranit obnovenou tabulku, když ji už nepotřebujete.
Následující obrázek znázorňuje možnost obnovení uloženého hledání.
Omezení obnovení protokolu
Než začnete obnovovat archivovanou tabulku protokolů, mějte na paměti následující omezení:
- Obnovte data minimálně po dobu dvou dnů.
- Obnovte data starší než 14 dní.
- Obnovte až 60 TB.
- Obnovení je omezené na jedno aktivní obnovení na tabulku.
- Obnovte až čtyři archivované tabulky na pracovní prostor za týden.
- Omezeno na dvě souběžné úlohy obnovení na pracovní prostor.
Další informace najdete v tématu Obnovení protokolů ve službě Azure Monitor.
Záložka výsledků hledání nebo obnovené řádky dat
Podobně jako na řídicím panelu proaktivního vyhledávání hrozeb jsou řádky záložek, které obsahují zajímavé informace, abyste je mohli připojit k incidentu nebo na ně odkazovat později. Další informace najdete v tématu Vytváření záložek.
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro