Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Restaure los datos de un registro archivado para usarlos en consultas y análisis de alto rendimiento.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.
Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.
Requisitos previos
Antes de restaurar los datos en un registro archivado, consulte Iniciar una investigación mediante la búsqueda de grandes conjuntos de datos (versión preliminar) y Restauración en Azure Monitor.
Restauración de datos de registro archivados
Para restaurar los datos de registro archivados en Microsoft Sentinel, especifique la tabla y el intervalo de tiempo de los datos que desea restaurar. En unos minutos, los datos de registro están disponibles en el área de trabajo de Log Analytics. A continuación, puede usar los datos en consultas de alto rendimiento que admiten el lenguaje de consulta Kusto (KQL) completo.
Restaure los datos archivados directamente desde la página Buscar o desde una búsqueda guardada.
En el portal de Defender, esta página está en el nivel raíz de Microsoft Sentinel. En Microsoft Sentinel, seleccione Buscar. En Azure Portal, esta página aparece en General.
Restaure los datos de registro mediante uno de los siguientes métodos:
Seleccione
Restaurar en la parte superior de la página. En el panel Restauración, seleccione la tabla y el intervalo de tiempo que desea restaurar y, a continuación, seleccione Restaurar en la parte inferior del panel.Seleccione Búsquedas guardadas, busque los resultados de búsqueda que desea restaurar y, a continuación, seleccione Restaurar. Si tiene varias tablas, seleccione la que desea restaurar y, a continuación, seleccione Acciones > Restaurar en el panel lateral. Por ejemplo:
Espere a que se restauren los datos de registro. Para ver el estado del trabajo de restauración, seleccione la pestaña Restauración.
Visualización de los datos de registro restaurados
Para ver el estado y los resultados de la restauración de datos de registro, vaya a la pestaña Restauración. Puede ver los datos restaurados cuando el estado del trabajo de restauración muestre Datos disponibles.
En Microsoft Sentinel, seleccione Búsqueda>Restauración.
Una vez completado el trabajo de restauración y actualizado el estado, seleccione el nombre de la tabla y revise los resultados.
En Azure Portal, los resultados se muestran en la página de consulta Registros. En el portal de Defender, los resultados se muestran en la página Búsqueda avanzada de amenazas.
Por ejemplo:
El intervalo de tiempo se establece en un intervalo de tiempo personalizado que usa las horas de inicio y finalización de los datos restaurados.
Eliminación de tablas de datos restauradas
Para ahorrar costos, se recomienda eliminar la tabla restaurada cuando ya no la necesite. Al eliminar una tabla restaurada, los datos de origen subyacentes no se eliminan.
En Microsoft Sentinel, seleccione Buscar>Restauración e identifique la tabla que desea eliminar.
Seleccione Eliminar para esa fila de la tabla para eliminar la tabla restaurada.