Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una de las actividades principales de un equipo de seguridad es buscar registros para eventos específicos. Por ejemplo, puede buscar en los registros las actividades de un usuario específico dentro de un período de tiempo determinado.
En Microsoft Sentinel, puede buscar en largos períodos de tiempo en conjuntos de datos extremadamente grandes mediante un trabajo de búsqueda. Aunque puede ejecutar un trabajo de búsqueda en cualquier tipo de registro, los trabajos de búsqueda son ideales para buscar registros en un estado de retención a largo plazo (anteriormente conocido como archivo). Si necesita realizar una investigación completa sobre estos datos, puede restaurar esos datos en un estado de retención interactivo (como las tablas normales de Log Analytics) para ejecutar consultas de alto rendimiento y análisis más profundos.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, Microsoft Sentinel solo se admitirá en el portal de Defender y los clientes restantes que usen Azure Portal se redirigirán automáticamente.
Se recomienda que los clientes que usen Microsoft Sentinel en Azure empiecen a planear la transición al portal de Defender para obtener la experiencia de operaciones de seguridad unificada completa que ofrece Microsoft Defender. Para obtener más información, consulte Planeamiento del traslado al portal de Microsoft Defender para todos los clientes de Microsoft Sentinel.
Búsqueda de conjuntos de datos grandes
Use un trabajo de búsqueda al iniciar una investigación para buscar eventos específicos en los registros dentro de un período de tiempo determinado. Puede buscar todos los registros para encontrar eventos que coincidan con los criterios y filtrar por los resultados.
La búsqueda en Microsoft Sentinel se basa en los trabajos de búsqueda. Los trabajos de búsqueda son consultas asincrónicas que capturan registros. Los resultados se devuelven a una tabla de búsqueda que se crea en el área de trabajo de Log Analytics después de iniciar el trabajo de búsqueda. El trabajo de búsqueda usa el procesamiento paralelo para ejecutar la búsqueda en intervalos de tiempo largos, en conjuntos de datos extremadamente grandes. Por lo tanto, los trabajos de búsqueda no afectan al rendimiento o la disponibilidad del área de trabajo.
Los resultados de la búsqueda se almacenan en una tabla denominada con el sufijo _SRCH
.
En la imagen siguiente se muestran criterios de búsqueda de ejemplo para un trabajo de búsqueda.
Tipos de registro admitidos
Use la búsqueda para buscar eventos en cualquiera de los siguientes tipos de registro:
También puede buscar análisis o datos de registro básicos almacenados en retención a largo plazo.
Limitaciones de un trabajo de búsqueda
Consulte Limitaciones del trabajo de búsqueda en la documentación de Azure Monitor.
Restaurar los datos de registro a partir de la retención a largo plazo
Cuando necesite llevar a cabo una investigación exhaustiva sobre los datos de registro en retención de largo plazo, restaure una tabla desde la página Búsqueda de Microsoft Sentinel. Especifique una tabla de destino y un intervalo de tiempo para los datos que desea restaurar. En unos minutos, los datos de registro se restauran y están disponibles en el área de trabajo de Log Analytics. A continuación, puede usar los datos en consultas de alto rendimiento que admiten KQL completo.
Una tabla de registro restaurada está disponible en una nueva tabla que tiene un sufijo *_RST. Los datos restaurados están disponibles siempre que estén disponibles los datos de origen subyacentes. Sin embargo, puede eliminar las tablas restauradas en cualquier momento sin eliminar los datos de origen subyacentes. Para ahorrar costos, se recomienda eliminar la tabla restaurada cuando ya no la necesite.
En la imagen siguiente se muestra la opción de restauración en una búsqueda guardada.
Limitaciones de la restauración de registros
Consulte Limitaciones de restauración en la documentación de Azure Monitor.
Resultados de búsqueda de marcadores o filas de datos restauradas
De forma similar al panel de búsqueda de amenazas, añade marcadores a las filas que contengan información interesante para que puedas adjuntarlas a un incidente o hacer referencia a ellas más adelante. Para obtener más información, vea Crear marcadores.