Partager via


Démarrer une enquête en recherchant des événements dans des jeux de données volumineux

L’une des activités principales d’une équipe de sécurité consiste à rechercher des événements spécifiques dans les journaux. Par exemple, vous pouvez rechercher dans les journaux les activités d’un utilisateur spécifique dans un laps de temps donné.

Dans Microsoft Sentinel, vous pouvez faire des recherches sur des périodes longues dans des jeux de données extrêmement volumineux à l’aide d’une tâche de recherche. Bien que vous puissiez exécuter une tâche de recherche sur n’importe quel type de journal, les tâches de recherche sont idéalement adaptées aux recherches de journaux dans un état de conservation à long terme (anciennement appelé archive). Si vous avez besoin d’effectuer une enquête complète sur ces données, vous pouvez restaurer ces données dans un état de conservation des données interactif (comme vos tables Log Analytics ordinaires) pour exécuter des requêtes de haute performance et effectuer une analyse plus approfondie.

Important

Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.

À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.

Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez C'est le moment de déménager : le retrait du portail Azure de Microsoft Sentinel pour une plus grande sécurité.

Rechercher dans des jeux de données volumineux

Utilisez une tâche de recherche quand vous démarrez une investigation pour rechercher des événements spécifiques dans les journaux pour un délai d’exécution donné. Vous pouvez rechercher dans tous vos journaux des événements qui correspondent à vos critères et filtrer les résultats.

La recherche dans Microsoft Sentinel repose sur des tâches de recherche. Les tâches de recherche sont des requêtes asynchrones qui extraient des enregistrements. Les résultats sont retournés à une table de recherche qui est créée dans votre espace de travail Log Analytics après le démarrage de la tâche de recherche. La tâche de recherche utilise le traitement parallèle pour exécuter la recherche sur des intervalles de temps longs, dans des jeux de données extrêmement volumineux. Les tâches de recherche n’impactent donc pas les performances ni la disponibilité de l’espace de travail.

Les résultats de la recherche sont stockés dans une table avec le suffixe _SRCH.

L’image suivante montre des exemples de critères de recherche pour une tâche de recherche.

Capture d’écran d’une page de recherche avec les critères de recherche de l’administrateur, un intervalle de temps défini sur 1 an et une table sélectionnée.

Types de journaux pris en charge

Utilisez la recherche pour trouver des événements dans n’importe quel type parmi les journaux suivants :

Vous pouvez également lancer des recherches dans les données des journaux d’activité basiques ou d’analyse stockés dans la conservation à long terme.

Limites d’une tâche de recherche

Consultez les limitations du travail de recherche dans la documentation Azure Monitor.

Restaurer des données de journaux à partir de la conservation à long terme

Lorsque vous devez effectuer une investigation complète sur les données de journaux en conservation à long terme, restaurez une table à partir de la page Recherche dans Microsoft Sentinel. Spécifiez une table cible et un intervalle de temps pour les données que vous souhaitez restaurer. Au bout de quelques minutes, les données du journal sont restaurées et disponibles dans l’espace de travail Log Analytics. Vous pouvez ensuite utiliser les données dans des requêtes à hautes performances qui prennent en charge la KQL complète.

Une table de journal restaurée est disponible dans une nouvelle table qui a un suffixe * _RST. Les données restaurées sont disponibles tant que les données sources sous-jacentes sont disponibles. Toutefois, vous pouvez supprimer les tables restaurées à tout moment sans supprimer les données sources sous-jacentes. Pour réduire les coûts, nous vous recommandons de supprimer la table restaurée lorsque vous n’en avez plus besoin.

L’image suivante montre l’option de restauration pour une recherche enregistrée.

Capture d’écran du lien de restauration pour une recherche enregistrée.

Limites de la restauration des journaux

Consultez les limitations de restauration dans la documentation Azure Monitor.

Résultats de la recherche de signets ou lignes de données restaurées

Comme avec le tableau de bord de chasse aux menaces, ajoutez un signet sur les rangées qui contiennent des informations que vous jugez intéressantes afin de les relier à un incident ou de vous y référer ultérieurement. Pour plus d’informations, consultez Créer des signets.

Étapes suivantes