Suchen mit einem Suchauftrag

  • 3 Minuten

Eine der wichtigsten Aktivitäten eines Sicherheitsteams besteht im Durchsuchen von Protokollen nach bestimmten Ereignissen. Beispielsweise können Sie Protokolle nach den Aktivitäten eines bestimmten Benutzers innerhalb eines bestimmten Zeitrahmens durchsuchen.

In Microsoft Sentinel können Sie mithilfe eines Suchauftrags mit langer Ausführungsdauer große Datasets durchsuchen. Sie können einen Suchauftrag zwar für jede Art von Protokoll ausführen, Suchaufträge eignen sich jedoch ideal zum Durchsuchen archivierter Protokolle. Wenn Sie eine vollständige Untersuchung archivierter Daten durchführen müssen, können Sie diese Daten im Caches für heiße Daten wiederherstellen, um leistungsstarke Abfragen und Analysen auszuführen.

Durchsuchen großer Datasets

Verwenden Sie einen Suchauftrag, wenn Sie eine Untersuchung starten, um bestimmte Ereignisse in Protokollen innerhalb eines bestimmten Zeitrahmens zu finden. Sie können all Ihre Protokolle nach Ereignissen durchsuchen, die Ihren Kriterien entsprechen, und die Ergebnisse filtern.

Die Suche in Microsoft Sentinel basiert auf Suchaufträgen. Suchaufträge sind asynchrone Abfragen, die Datensätze abrufen. Die Ergebnisse werden an eine Suchtabelle zurückgegeben, die in Ihrem Log Analytics-Arbeitsbereich nach Start des Suchauftrags erstellt wird. Der Suchauftrag verwendet die Parallelverarbeitung, um die Suche über große Zeitspannen in großen Datasets ausführen zu können. Suchaufträge wirken sich also nicht auf die Leistung oder Verfügbarkeit des Arbeitsbereichs aus.

Suchergebnisse verbleiben in einer Suchergebnistabelle mit dem Suffix *_SRCH.

Unterstützte Protokolltypen

Verwenden Sie die Suche, um Ereignisse in einem der folgenden Protokolltypen zu finden:

  • Analyseprotokolle
  • Grundlegende-Protokolle

Einschränkungen eines Suchauftrags

Beachten Sie vor dem Starten eines Suchauftrags die folgenden Einschränkungen:

  • Optimiert zum Abfragen einer Tabelle nach der anderen.
  • Der Suchdatumsbereich kann bis zu einem Jahr sein.
  • Unterstützt zeitintensive Suchvorgänge mit einem Timeout von bis zu 24 Stunden.
  • Die Ergebnisse sind auf eine Million Datensätze im Recordset beschränkt.
  • Die gleichzeitige Ausführung ist auf fünf Suchaufträge pro Arbeitsbereich beschränkt.
  • Beschränkt auf 100 Suchergebnistabellen pro Arbeitsbereich.
  • Beschränkt auf 100 Suchauftragsausführungen pro Tag und Arbeitsbereich.

Starten eines Suchauftrags

Wechseln Sie zu Suchen in Microsoft Sentinel, um Ihre Suchkriterien einzugeben.

  1. Wechseln Sie im Azure-Portal zu Microsoft Sentinel, und wählen Sie den entsprechenden Arbeitsbereich aus.

  2. Wählen Sie unter Allgemein die Option Suchen (Vorschau) aus.

  3. Geben Sie im Feld Suchen den Suchbegriff ein.

  4. Wählen Sie den passenden Zeitrahmen aus.

  5. Wählen Sie die Tabelle aus, die Sie durchsuchen möchten.

  6. Wenn Sie bereit sind, den Suchauftrag zu starten, wählen Sie Suchen aus.

    Wenn der Suchauftrag gestartet wird, werden eine Benachrichtigung und der Auftragsstatus auf der Suchseite angezeigt.

  7. Warten Sie, bis Ihr Suchauftrag abgeschlossen ist. Je nach Dataset und Suchkriterien kann es zwischen einigen Minuten und bis zu 24 Stunden dauern, bis der Suchauftrag abgeschlossen ist. Wenn Ihr Suchauftrag länger als 24 Stunden dauert, tritt ein Timeout ein. In diesem Fall verfeinern Sie Ihre Suchkriterien, und versuchen Sie es erneut.

Anzeigen der Ergebnisse von Suchaufträgen

Sie können den Status und die Ergebnisse Ihres Suchauftrags anzeigen, indem Sie zur Registerkarte Gespeicherte Suchvorgänge wechseln.

  1. Wählen Sie in Ihrem Microsoft Sentinel-Arbeitsbereich „Suchen“ > „Gespeicherte Suchvorgänge“ aus.

  2. Wählen Sie auf der Suchkarte Suchergebnisse anzeigen aus.

  3. Standardmäßig werden alle Ergebnisse angezeigt, die Ihren ursprünglichen Suchkriterien entsprechen. Beachten Sie in der Suchabfrage die referenzierten Zeitspalten.

    • TimeGenerated stellt das Datum und die Uhrzeit der Erfassung der Daten in der Suchtabelle dar.
    • _OriginalTimeGenerated ist das Datum und die Uhrzeit, als der Datensatz erstellt wurde.

  4. Bearbeiten Sie die KQL-Abfrage, um die Liste der von der Suchtabelle zurückgegebenen Ergebnisse zu verfeinern.

  5. Während Sie die Ergebnisse Ihrer Suchaufträge untersuchen, werden Zeilen mit interessanten Informationen mit Lesezeichen markiert, damit Sie sie an einen Incident anfügen oder später darauf verweisen können.