Démarrer une investigation en recherchant des événements dans des jeux de données volumineux

Article
31/07/2024
S’applique à:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

L’une des activités principales d’une équipe de sécurité consiste à rechercher des événements spécifiques dans les journaux. Par exemple, vous pouvez rechercher dans les journaux les activités d’un utilisateur spécifique dans un laps de temps donné.

Dans Microsoft Sentinel, vous pouvez effectuer des recherches sur des périodes longues dans des jeux de données extrêmement volumineux à l’aide d’une tâche de recherche. Bien que vous puissiez exécuter un travail de recherche sur n’importe quel type de journal, les tâches de recherche sont idéalement adaptées aux travaux dans un état de conservation à long terme (anciennement appelé archive). Si vous avez besoin d’effectuer une enquête complète sur ces données, vous pouvez restaurer lesdites données dans un état de conservation des données interactif (comme vos tables Log Analytics normales) pour exécuter des requêtes hautes performances et une analyse plus approfondie.

Important

Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Rechercher dans les jeux de données volumineux

Utilisez une tâche de recherche quand vous démarrez une investigation pour rechercher des événements spécifiques dans les journaux pour un délai d’exécution donné. Vous pouvez rechercher dans tous vos journaux des événements qui correspondent à vos critères et filtrer les résultats.

La recherche dans Microsoft Sentinel repose sur des tâches de recherche. Les tâches de recherche sont des requêtes asynchrones qui extraient des enregistrements. Les résultats sont retournés à une table de recherche qui est créée dans votre espace de travail Log Analytics après le démarrage de la tâche de recherche. La tâche de recherche utilise le traitement parallèle pour exécuter la recherche sur des intervalles de temps longs, dans des jeux de données extrêmement volumineux. Les tâches de recherche n’affectent donc pas les performances ni la disponibilité de l’espace de travail.

Les résultats de la recherche sont stockés dans une table avec le suffixe _SRCH.

L’image suivante montre des exemples de critères de recherche pour un travail de recherche.

Types de journaux pris en charge

Utilisez la recherche pour trouver des événements dans l’un des types de journaux suivants :

Vous pouvez également lancer des recherches dans les données des journaux basiques ou d’analytique stockées dans la conservation à long terme.

Limitations d’une tâche de recherche

Avant de démarrer une tâche de recherche, tenez compte des limitations suivantes :

Optimisé pour interroger une table à la fois.
La plage de dates de la recherche peut aller jusqu’à sept ans.
Prend en charge les recherches de longue durée jusqu’à un délai d’expiration de 24 heures.
Les résultats sont limités à 1 million d’enregistrements dans le jeu d’enregistrements.
L’exécution parallèle par utilisateur est limitée à cinq tâches de recherche par espace de travail.
Limité à 100 tables de résultats de recherche par espace de travail.
Limité à 100 exécutions de tâches de recherche par jour et par espace de travail.

Les travaux de recherche ne sont actuellement pas pris en charge pour les espaces de travail suivants :

Espaces de travail avec clé gérée par le client
Espaces de travail dans la région Chine Est 2

Pour plus d’informations, consultez Tâche de recherche dans Azure Monitor dans la documentation de Azure Monitor.

Restaurer les données d’historique à partir des journaux archivés

Lorsque vous devez effectuer une investigation complète sur les données stockées dans les journaux archivés, restaurez une table à partir de la page de recherche dans Microsoft Sentinel. Spécifiez une table cible et un intervalle de temps pour les données que vous souhaitez restaurer. Au bout de quelques minutes, les données de journal sont restaurées et disponibles dans l’espace de travail Log Analytics. Vous pouvez ensuite utiliser les données dans des requêtes à hautes performances qui prennent en charge la KQL complète.

Une table de journal restaurée est disponible dans une nouvelle table qui a un suffixe *_RST. Les données restaurées sont disponibles tant que les données sources sous-jacentes sont disponibles. Toutefois, vous pouvez supprimer les tables restaurées à tout moment sans supprimer les données sources sous-jacentes. Pour réduire les coûts, nous vous recommandons de supprimer la table restaurée lorsque vous n’en avez plus besoin.

L’illustration suivante montre l’option de restauration sur une recherche enregistrée.

Limitations de la restauration des journaux

Avant de commencer à restaurer une table de journaux archivée, tenez compte des limitations suivantes :

Restaurez les données pendant au moins deux jours.
Restaurez les données datant de plus de 14 jours.
Restaurez jusqu’à 60 To.
La restauration est limitée à une restauration active par table.
Restaurez jusqu’à quatre tables archivées par espace de travail par semaine.
Limité à deux tâches de restauration simultanées par espace de travail.

Pour plus d’informations, consultez Restaurer les journaux dans Azure Monitor.

Résultats de la recherche de signets ou lignes de données restaurées

Comme avec le tableau de bord de chasse aux menaces, ajoutez un signet sur les rangées qui contiennent des informations que vous jugez intéressantes afin de les relier à un incident ou de vous y référer ultérieurement. Pour plus d’informations, consultez Créer des signets.

Étapes suivantes

Ressources supplémentaires

Documentation

Quand utiliser des journaux d’activité auxiliaires dans Microsoft Sentinel

Découvrez les sources de journal qui pourraient être appropriées pour l’ingestion de journaux d’activité basiques ou de journaux d’activité auxiliaires.
Plans de rétention des journaux dans Microsoft Sentinel

Découvrez les différents plans de rétention des journaux disponibles dans Microsoft Sentinel et comment ils sont destinés à être utilisés pour garantir une couverture maximale avec un minimum de dépenses.
Effectuer des recherches sur des étendues longues dans des jeux de données volumineux : Microsoft Sentinel

Découvrez comment utiliser des travaux de recherche pour effectuer des recherches dans des grands jeux de données.
Examiner les incidents avec Microsoft Sentinel

Dans cet article, découvrez comment utiliser Microsoft Sentinel pour créer des règles d’alertes avancées qui génèrent des incidents que vous pouvez attribuer et sur lesquels vous pouvez enquêter.
Tâches d’incident de base Microsoft Sentinel dans le Portail Azure

Cet article explique comment parcourir et trier les incidents Microsoft Sentinel dans le Portail Azure.
Restaurer des journaux archivés à partir de la recherche - Microsoft Sentinel

Découvrez la procédure de restauration de journaux archivés à partir des résultats de la tâche de recherche.
Tutoriel : détecter des menaces en utilisant des règles d’analyse dans Microsoft Sentinel

Dans ce tutoriel, découvrez comment utiliser des règles d’analyse dans Microsoft Sentinel pour détecter des codes malveillants exploitant une faille de sécurité de la vulnérabilité Apache Log4j dans l’un de vos systèmes sensibles. Tirez parti des fonctionnalités d’enrichissement des alertes afin de faire apparaître autant d’informations que possible pour votre investigation.
Fonctionnalités de repérage dans Microsoft Sentinel

Utilisez les requêtes de chasse intégrées à Microsoft Sentinel pour vous aider à poser les bonnes questions afin de détecter les problèmes dans vos données.

Entrainement

Module

Utiliser des travaux de recherche dans Microsoft Sentinel - Training

Utiliser des travaux de recherche dans Microsoft Sentinel

Certification

Microsoft Certified: Security Operations Analyst Associate - Certifications

Investiguez, recherchez et atténuez les menaces avec Microsoft Sentinel, Microsoft Defender pour le cloud et Microsoft 365 Defender.

Partager via