Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una de las actividades principales de un equipo de seguridad es buscar en registros eventos específicos. Por ejemplo, puede buscar en los registros las actividades de un usuario específico dentro de un período de tiempo determinado.
En Microsoft Sentinel, puede buscar en largos períodos de tiempo en conjuntos de datos extremadamente grandes mediante un trabajo de búsqueda. Aunque puede ejecutar un trabajo de búsqueda en cualquier tipo de registro, los trabajos de búsqueda son ideales para buscar registros en un estado de retención a largo plazo (anteriormente conocido como archivo). Si necesita realizar una investigación completa sobre estos datos, puede restaurar esos datos en un estado de retención interactivo, como las tablas normales de Log Analytics, para ejecutar consultas de alto rendimiento y un análisis más profundo.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Buscar conjuntos de datos grandes
Use un trabajo de búsqueda para recuperar datos almacenados en retención a largo plazo o para examinar grandes volúmenes de datos, si el tiempo de espera de la consulta de registro de 10 minutos no es suficiente. Los trabajos de búsqueda son consultas asincrónicas que capturan registros en una tabla de búsqueda en el área de trabajo de Log Analytics. El trabajo de búsqueda usa el procesamiento paralelo para buscar en intervalos de tiempo prolongados en conjuntos de datos extremadamente grandes, por lo que los trabajos de búsqueda no afectan al rendimiento ni a la disponibilidad del área de trabajo.
Los resultados de la búsqueda se almacenan en una tabla denominada con un _SRCH sufijo .
Esta imagen muestra criterios de búsqueda de ejemplo para un trabajo de búsqueda.
Restauración de datos de registro desde la retención a largo plazo
Cuando necesite realizar una investigación completa sobre los datos de registro en la retención a largo plazo, restaure una tabla desde la página Buscar de Microsoft Sentinel. Especifique una tabla de destino y un intervalo de tiempo para los datos que desea restaurar. En unos minutos, los datos de registro se restauran y están disponibles en el área de trabajo de Log Analytics. A continuación, puede usar los datos en consultas de alto rendimiento que admiten KQL completo.
Una tabla de registro restaurada está disponible en una nueva tabla que tiene un sufijo *_RST. Los datos restaurados están disponibles siempre que estén disponibles los datos de origen subyacentes. Pero puede eliminar las tablas restauradas en cualquier momento sin eliminar los datos de origen subyacentes. Para ahorrar costos, se recomienda eliminar la tabla restaurada cuando ya no la necesite.
En la imagen siguiente se muestra la opción de restauración en una búsqueda guardada.
Limitaciones de la restauración de registros
Consulte Las limitaciones de restauración en la documentación de Azure Monitor.
Resultados de búsqueda de marcadores o filas de datos restauradas
De forma similar al panel de búsqueda de amenazas, las filas de marcadores que contienen información que le resulta interesante para que pueda asociarlas a un incidente o hacer referencia a ellas más adelante. Para obtener más información, vea Crear marcadores.