Démarrer une investigation en recherchant des événements dans des jeux de données volumineux

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

L’une des activités principales d’une équipe de sécurité consiste à rechercher des événements spécifiques dans les journaux. Par exemple, vous pouvez rechercher dans les journaux les activités d’un utilisateur spécifique dans un laps de temps donné.

Dans Microsoft Sentinel, vous pouvez effectuer des recherches sur des périodes longues dans des jeux de données extrêmement volumineux à l’aide d’une tâche de recherche. Bien que vous puissiez exécuter une tâche de recherche sur n’importe quel type de journal, les tâches de recherche sont idéalement adaptées à la recherche de journaux archivés. Si vous devez effectuer une investigation complète sur les données archivées, vous pouvez restaurer ces données dans le cache à chaud pour exécuter des requêtes hautes performances et des analyses plus profondes.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Rechercher dans les jeux de données volumineux

Utilisez une tâche de recherche quand vous démarrez une investigation pour rechercher des événements spécifiques dans les journaux pour un délai d’exécution donné. Vous pouvez rechercher dans tous vos journaux des événements qui correspondent à vos critères et filtrer les résultats.

La recherche dans Microsoft Sentinel repose sur des tâches de recherche. Les tâches de recherche sont des requêtes asynchrones qui extraient des enregistrements. Les résultats sont retournés à une table de recherche qui est créée dans votre espace de travail Log Analytics après le démarrage de la tâche de recherche. La tâche de recherche utilise le traitement parallèle pour exécuter la recherche sur des intervalles de temps longs, dans des jeux de données extrêmement volumineux. Les tâches de recherche n’affectent donc pas les performances ni la disponibilité de l’espace de travail.

Les résultats de la recherche sont stockés dans une table avec le suffixe *_SRCH.

L’image suivante montre des exemples de critères de recherche pour un travail de recherche.

Types de journaux pris en charge

Utilisez la recherche pour trouver des événements dans l’un des types de journaux suivants :

• Journaux d’analytique
• Journaux basiques

Vous pouvez également lancer des recherches dans les données des journaux basiques ou d’analytique stockées dans les journaux archivés.

Limitations d’une tâche de recherche

Avant de démarrer une tâche de recherche, tenez compte des limitations suivantes :

• Optimisé pour interroger une table à la fois.
• La plage de dates de la recherche peut aller jusqu’à sept ans.
• Prend en charge les recherches de longue durée jusqu’à un délai d’expiration de 24 heures.
• Les résultats sont limités à 1 million d’enregistrements dans le jeu d’enregistrements.
• L’exécution simultanée est limitée à cinq tâches de recherche par espace de travail.
• Limité à 100 tables de résultats de recherche par espace de travail.
• Limité à 100 exécutions de tâches de recherche par jour et par espace de travail.

Les travaux de recherche ne sont actuellement pas pris en charge pour les espaces de travail suivants :

• Espaces de travail avec clé gérée par le client
• Espaces de travail dans la région Chine Est 2

Pour plus d’informations, consultez Tâche de recherche dans Azure Monitor dans la documentation de Azure Monitor.

Restaurer les données d’historique à partir des journaux archivés

Lorsque vous devez effectuer une investigation complète sur les données stockées dans les journaux archivés, restaurez une table à partir de la page de recherche dans Microsoft Sentinel. Spécifiez une table cible et un intervalle de temps pour les données que vous souhaitez restaurer. Au bout de quelques minutes, les données de journal sont restaurées et disponibles dans l’espace de travail Log Analytics. Vous pouvez ensuite utiliser les données dans des requêtes à hautes performances qui prennent en charge la KQL complète.

Une table de journal restaurée est disponible dans une nouvelle table qui a un suffixe *_RST. Les données restaurées sont disponibles tant que les données sources sous-jacentes sont disponibles. Toutefois, vous pouvez supprimer les tables restaurées à tout moment sans supprimer les données sources sous-jacentes. Pour réduire les coûts, nous vous recommandons de supprimer la table restaurée lorsque vous n’en avez plus besoin.

L’illustration suivante montre l’option de restauration sur une recherche enregistrée.

Limitations de la restauration des journaux

Avant de commencer à restaurer une table de journaux archivée, tenez compte des limitations suivantes :

• Restaurez les données pendant au moins deux jours.
• Restaurez les données datant de plus de 14 jours.
• Restaurez jusqu’à 60 To.
• La restauration est limitée à une restauration active par table.
• Restaurez jusqu’à quatre tables archivées par espace de travail par semaine.
• Limité à deux tâches de restauration simultanées par espace de travail.

Pour plus d’informations, consultez Restaurer les journaux dans Azure Monitor.

Résultats de la recherche de signets ou lignes de données restaurées

Comme avec le tableau de bord de chasse aux menaces, ajoutez un signet sur les rangées qui contiennent des informations que vous jugez intéressantes afin de les relier à un incident ou de vous y référer ultérieurement. Pour plus d’informations, consultez Créer des signets.

Étapes suivantes

• Effectuer des recherches sur des périodes de temps longues dans des grands jeux de données
• Restaurer des journaux archivés à partir de la recherche