Compartir a través de

Restauración de registros archivados desde la búsqueda

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Restaure los datos de un registro archivado para usarlos en consultas y análisis de alto rendimiento.

Importante

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

Antes de restaurar los datos en un registro archivado, consulte Iniciar una investigación mediante la búsqueda de grandes conjuntos de datos (versión preliminar) y Restauración en Azure Monitor.

Restauración de datos de registro archivados

Para restaurar los datos de registro archivados en Microsoft Sentinel, especifique la tabla y el intervalo de tiempo de los datos que desea restaurar. En unos minutos, los datos de registro están disponibles en el área de trabajo de Log Analytics. A continuación, puede usar los datos en consultas de alto rendimiento que admiten el lenguaje de consulta Kusto (KQL) completo.

Restaure los datos archivados directamente desde la página Buscar o desde una búsqueda guardada.

  1. En Microsoft Sentinel, seleccione Buscar. En Azure Portal, esta página aparece en General. En el portal de Defender, esta página está en el nivel raíz de Microsoft Sentinel.

  2. Restaure los datos de registro mediante uno de los siguientes métodos:

    • Seleccione Restaurar en la parte superior de la página. En el panel Restauración, seleccione la tabla y el intervalo de tiempo que desea restaurar y, a continuación, seleccione Restaurar en la parte inferior del panel.

    • Seleccione Búsquedas guardadas, busque los resultados de búsqueda que desea restaurar y, a continuación, seleccione Restaurar. Si tiene varias tablas, seleccione la que desea restaurar y, a continuación, seleccione Acciones > Restaurar en el panel lateral. Por ejemplo:

      Recorte de pantalla de la restauración de una búsqueda de sitio específica.

  3. Espere a que se restauren los datos de registro. Para ver el estado del trabajo de restauración, seleccione la pestaña Restauración.

Visualización de los datos de registro restaurados

Para ver el estado y los resultados de la restauración de datos de registro, vaya a la pestaña Restauración. Puede ver los datos restaurados cuando el estado del trabajo de restauración muestre Datos disponibles.

  1. En Microsoft Sentinel, seleccione Búsqueda>Restauración.

  2. Una vez completado el trabajo de restauración y actualizado el estado, seleccione el nombre de la tabla y revise los resultados.

    En Azure Portal, los resultados se muestran en la página de consulta Registros. En el portal de Defender, los resultados se muestran en la página Búsqueda avanzada de amenazas.

    Por ejemplo:

    Captura de pantalla del panel de consulta de los registros con los resultados de la tabla restaurada.

    El intervalo de tiempo se establece en un intervalo de tiempo personalizado que usa las horas de inicio y finalización de los datos restaurados.

Eliminación de tablas de datos restauradas

Para ahorrar costos, se recomienda eliminar la tabla restaurada cuando ya no la necesite. Al eliminar una tabla restaurada, los datos de origen subyacentes no se eliminan.

  1. En Microsoft Sentinel, seleccione Buscar>Restauración e identifique la tabla que desea eliminar.

  2. Seleccione Eliminar para esa fila de la tabla para eliminar la tabla restaurada.

Pasos siguientes