Einführung
In Microsoft Sentinel können Sie mithilfe eines Suchauftrags mit langer Ausführungsdauer große Datasets durchsuchen. Sie haben auch die Möglichkeit, archivierte Protokolle wiederherzustellen und sie in den Suchauftrag einzuschließen.
Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. Sie finden einen neuen Indikator für Kompromittierung (IoC) und müssen untersuchen, ob er zuvor in den Protokollen ermittelt wurde. Sie müssen Archivprotokolle wiederherstellen und einen Suchauftrag ausführen, um frühere Instanzen des IoC zu ermitteln.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Verwenden von Suchaufträgen in Microsoft Sentinel
- Wiederherstellen von Archivprotokollen in Microsoft Sentinel
Voraussetzungen
Grundkenntnisse zu operativen Konzepten, wie Kusto-Abfragesprache (KQL), Protokollierung und Archivierung