Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Restaure los datos de un registro archivado para usarlos en consultas y análisis de alto rendimiento.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Requisitos previos
Antes de restaurar los datos en un registro archivado, consulte Restauración en Azure Monitor.
Restauración de datos de registro archivados
Para restaurar los datos de registro archivados en Microsoft Sentinel, especifique la tabla y el intervalo de tiempo de los datos que desea restaurar. En unos minutos, los datos de registro están disponibles en el área de trabajo de Log Analytics. A continuación, puede usar los datos en consultas de alto rendimiento que admiten Lenguaje de consulta Kusto completa (KQL).
Restaure los datos archivados directamente desde la página Buscar o desde una búsqueda guardada.
En el portal de Defender, esta página se encuentra en el nivel raíz Microsoft Sentinel. En Microsoft Sentinel, seleccione Buscar. En el Azure Portal, esta página aparece en General.
Restaure los datos de registro mediante uno de los métodos siguientes:
Seleccione
Restaurar en la parte superior de la página. En el panel Restauración del lado, seleccione la tabla y el intervalo de tiempo que desea restaurar y, a continuación, seleccione Restaurar en la parte inferior del panel.Seleccione Búsquedas guardadas, busque los resultados de búsqueda que desea restaurar y, a continuación, seleccione Restaurar. Si tiene varias tablas, seleccione la que desea restaurar y, a continuación, seleccione Actions Restore (Restauración de acciones>) en el panel lateral. Por ejemplo:
Espere a que se restauren los datos de registro. Para ver el estado del trabajo de restauración, seleccione en la pestaña Restauración .
Visualización de los datos de registro restaurados
Para ver el estado y los resultados de la restauración de datos de registro, vaya a la pestaña Restauración . Puede ver los datos restaurados cuando el estado del trabajo de restauración muestra Datos disponibles.
En Microsoft Sentinel, seleccione Restauración de búsqueda>.
Cuando se complete el trabajo de restauración y se actualice el estado, seleccione el nombre de la tabla y revise los resultados.
En el Azure Portal, los resultados se muestran en la página de consulta Registros. En el portal de Defender, los resultados se muestran en la página Búsqueda avanzada .
Por ejemplo:
El intervalo de tiempo se establece en un intervalo de tiempo personalizado que usa las horas de inicio y finalización de los datos restaurados.
Eliminación de tablas de datos restauradas
Para ahorrar costos, se recomienda eliminar la tabla restaurada cuando ya no la necesite. Al eliminar una tabla restaurada, no se eliminan los datos de origen subyacentes.
En Microsoft Sentinel, seleccione Restauración de búsqueda> e identifique la tabla que desea eliminar.
Seleccione Eliminar para esa fila de tabla para eliminar la tabla restaurada.