Partager via

Restaurer des journaux archivés à partir de la recherche

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Restaurez des données à partir d’un journal archivé pour les utiliser dans des requêtes et des analyses à hautes performances.

Important

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

Avant de restaurer des données dans un journal archivé, consultez Démarrer une investigation en recherchant des jeux de données volumineux (version préliminaire) et Restaurer dans Azure Monitor.

Restaurer des données de journaux archivés

Pour restaurer des données de journaux archivés dans Microsoft Sentinel, spécifiez la table et l’intervalle de temps pour les données à restaurer. Au bout de quelques minutes, les données de journal sont disponibles dans l’espace de travail Log Analytics. Vous pouvez ensuite utiliser les données dans des requêtes hautes performances qui prennent en charge le Langage de requête Kusto (KQL) complet.

Restaurez des données archivées directement depuis la page Recherche ou à partir d’une recherche enregistrée.

  1. Dans Microsoft Sentinel, sélectionnez Recherche. Dans le portail Azure, cette page se trouve sous Général. Dans le portail Defender, cette page se trouve au niveau racine de Microsoft Sentinel.

  2. Restaurez les données de journal à l’aide de l’une des méthodes suivantes :

    • Sélectionnez Restaurer en haut de la page. Dans le volet latéral Restauration, sélectionnez la table et l’intervalle de temps à restaurer, puis sélectionnez Restaurer en bas du volet.

    • Sélectionnez Recherches enregistrées, recherchez les résultats de la recherche que vous souhaitez restaurer, puis sélectionnez Restaurer. Si vous avez plusieurs tables, sélectionnez celle que vous souhaitez restaurer, puis sélectionnez Actions > Restaurer dans le volet latéral. Par exemple :

      Capture d’écran de la restauration d’une recherche de site spécifique.

  3. Attendez que les données de journal soient restaurées. Vous pouvez consulter l’état de votre tâche de restauration sous l’onglet Restauration.

Afficher les données de journal restaurées

Pour afficher l’état et les résultats de la restauration des données de journal, accédez à l’onglet Restauration. Vous pouvez afficher les données restaurées lorsque l’état du travail de restauration affiche Données disponibles.

  1. Dans Microsoft Sentinel, sélectionnez Rechercher>Restauration.

  2. Lorsque votre travail de restauration est terminé et que l’état est mis à jour, sélectionnez le nom de la table et passez en revue les résultats.

    Dans le portail Azure, les résultats sont affichés dans la page de requête Journaux. Dans le portail Defender, les résultats sont affichés dans la page Repérage avancé.

    Par exemple :

    Capture d’écran montrant le volet de requête des journaux avec les résultats de la table restaurés.

    L’intervalle de temps est défini sur un intervalle personnalisé qui utilise les heures de début et de fin des données restaurées.

Supprimer des tables de données restaurées

Pour réduire les coûts, nous vous recommandons de supprimer la table restaurée lorsque vous n’en avez plus besoin. Lorsque vous supprimez une table restaurée, les données sources sous-jacentes ne sont pas supprimées.

  1. Dans Microsoft Sentinel, sélectionnez Recherche>Restauration et identifiez la table à supprimer.

  2. Sélectionnez Supprimer pour cette ligne de table pour supprimer la table restaurée.

Étapes suivantes