Share via

Inicio de una investigación buscando eventos en conjuntos de datos de gran tamaño

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Una de las actividades principales de un equipo de seguridad es buscar registros para eventos específicos. Por ejemplo, puede buscar en los registros las actividades de un usuario específico dentro de un período de tiempo determinado.

En Microsoft Sentinel, puede buscar en largos períodos de tiempo en conjuntos de datos extremadamente grandes mediante un trabajo de búsqueda. Aunque puede ejecutar un trabajo de búsqueda en cualquier tipo de registro, los trabajos de búsqueda son ideales para buscar registros archivados. Si necesita realizar una investigación completa de los datos archivados, puede restaurarlos en la caché de acceso frecuente para ejecutar consultas de alto rendimiento y un análisis más profundo.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Búsqueda de conjuntos de datos grandes

Use un trabajo de búsqueda al iniciar una investigación para buscar eventos específicos en los registros dentro de un período de tiempo determinado. Puede buscar todos los registros para encontrar eventos que coincidan con los criterios y filtrar por los resultados.

La búsqueda en Microsoft Sentinel se basa en los trabajos de búsqueda. Los trabajos de búsqueda son consultas asincrónicas que capturan registros. Los resultados se devuelven a una tabla de búsqueda que se crea en el área de trabajo de Log Analytics después de iniciar el trabajo de búsqueda. El trabajo de búsqueda usa el procesamiento paralelo para ejecutar la búsqueda en intervalos de tiempo largos, en conjuntos de datos extremadamente grandes. Por lo tanto, los trabajos de búsqueda no afectan al rendimiento o la disponibilidad del área de trabajo.

Los resultados de la búsqueda se almacenan en una tabla con sufijo *_SRCH.

En la imagen siguiente se muestran criterios de búsqueda de ejemplo para un trabajo de búsqueda.

Captura de pantalla de la página de búsqueda con criterios de búsqueda de administrador, intervalo de tiempo del último año y una tabla seleccionada.

Tipos de registro admitidos

Use la búsqueda para buscar eventos en cualquiera de los siguientes tipos de registro:

También puede buscar análisis o datos de registro básicos almacenados en los registros archivados.

Limitaciones de un trabajo de búsqueda

Antes de iniciar un trabajo de búsqueda, tenga en cuenta las siguientes limitaciones:

  • Optimizado para consultar una tabla a la vez.
  • El intervalo de fechas de búsqueda es de hasta siete años.
  • Admite búsquedas de larga duración hasta un tiempo de espera de 24 horas.
  • Los resultados se limitan a un millón de registros en el conjunto de registros.
  • La ejecución simultánea se limita a cinco trabajos de búsqueda por área de trabajo.
  • Limitado a 100 tablas de resultados de búsqueda por área de trabajo.
  • Limitado a 100 ejecuciones de trabajos de búsqueda al día por área de trabajo.

Los trabajos de búsqueda no se admiten actualmente para las áreas de trabajo siguientes:

  • Áreas de trabajo habilitadas para claves administradas por el cliente
  • Áreas de trabajo en la región Este de China 2

Para más información, consulte Trabajo de búsqueda en Azure Monitor en la documentación de Azure Monitor.

Restauración de datos históricos a partir de registros archivados

Cuando necesite realizar una investigación completa de los datos almacenados en los registros archivados, restaure una tabla desde la página Buscar de Microsoft Sentinel. Especifique una tabla de destino y un intervalo de tiempo para los datos que desea restaurar. En unos minutos, los datos de registro se restauran y están disponibles en el área de trabajo de Log Analytics. A continuación, puede usar los datos en consultas de alto rendimiento que admiten KQL completo.

Una tabla de registro restaurada está disponible en una nueva tabla que tiene un sufijo *_RST. Los datos restaurados están disponibles siempre que estén disponibles los datos de origen subyacentes. Sin embargo, puede eliminar las tablas restauradas en cualquier momento sin eliminar los datos de origen subyacentes. Para ahorrar costos, se recomienda eliminar la tabla restaurada cuando ya no la necesite.

En la imagen siguiente se muestra la opción de restauración en una búsqueda guardada.

Captura de pantalla del vínculo de restauración en una búsqueda guardada.

Limitaciones de la restauración de registros

Antes de empezar a restaurar una tabla de registro archivada, tenga en cuenta las siguientes limitaciones:

  • Restaure los datos durante un mínimo de dos días.
  • Restaurar datos con más de 14 días de antigüedad.
  • Restauración de hasta 60 TB.
  • La restauración se limita a una restauración activa por tabla.
  • Restaure hasta cuatro tablas archivadas por área de trabajo por semana.
  • Limitado a dos trabajos de restauración simultáneos por área de trabajo.

Para más información, consulte Restauración de registros en Azure Monitor.

Resultados de búsqueda de marcadores o filas de datos restauradas

De forma similar al panel de búsqueda de amenazas, marque las filas que contienen información que le parece interesante para que pueda adjuntarlas a un incidente o hacer referencia a ellas más adelante. Para más información, consulte Creación de marcadores.

Pasos siguientes