Partager via

Rechercher des événements spécifiques dans des jeux de données volumineux dans Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Utilisez une requête de recherche pour récupérer les données stockées dans une rétention à long terme ou pour analyser de grands volumes de données, si le délai de 10 minutes pour les requêtes de journal n'est pas suffisant. Un travail de recherche analyse jusqu’à une année de données dans une table pour des événements spécifiques. Le travail de recherche envoie ses résultats à une nouvelle table Analytics dans le même espace de travail que les données sources.

Cet article explique comment exécuter un travail de recherche dans Microsoft Sentinel et comment utiliser les résultats de la tâche de recherche.

Les tâches de recherche dans certains jeux de données peuvent entraîner des frais supplémentaires. Pour en savoir plus, consultez la page Tarification Microsoft Sentinel.

Important

Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.

Après le 31 mars 2027, Microsoft Sentinel ne sera plus pris en charge dans le portail Azure et sera disponible uniquement dans le portail Microsoft Defender. Tous les clients utilisant Microsoft Sentinel dans le portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.

Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez C'est le moment de déménager : le retrait du portail Azure de Microsoft Sentinel pour une plus grande sécurité.

Considérations relatives à l’implémentation

Consultez les considérations relatives au travail de recherche dans la documentation Azure Monitor.

Commencer une tâche de recherche

À partir du Portail Azure ou du portail Microsoft Defender, accédez à Rechercher dans Microsoft Sentinel pour entrer vos critères de recherche. Les temps de recherche varient selon la taille du jeu de données cible. Bien que la plupart des tâches de recherche prennent quelques minutes, les recherches dans des jeux de données massifs qui s’exécutent pendant jusqu’à 24 heures sont également prises en charge.

  1. Pour Microsoft Sentinel dans le Portail Defender, sélectionnez Microsoft Sentinel>Rechercher. Pour Microsoft Sentinel dans le Portail Azure, sous Général, sélectionnez Rechercher.

  2. Sélectionnez le menu Table et choisissez une table pour votre recherche.

  3. Dans la zone Rechercher, entrez un terme de recherche.

  4. Sélectionnez l’option Démarrer pour afficher un aperçu de vos résultats pour un intervalle de temps défini en mode simple. Si nécessaire, accédez au menu déroulant et passez du mode Simple au mode KQL pour ouvrir l’éditeur KQL (Advanced Kusto Query Language).

  5. Modifiez la requête KQL si nécessaire, puis sélectionnez Exécuter pour obtenir une préversion mise à jour des résultats de la recherche. Résolvez les problèmes KQL indiqués par une ligne rouge ondulée dans l’éditeur.

    Capture d’écran de l’éditeur KQL avec la recherche modifiée.

  6. Lorsque vous êtes satisfait de la requête et de l’aperçu des résultats de la recherche, sélectionnez les points de suspension ... et sélectionnez Tâche de recherche pour ouvrir la fenêtre Mode de travail de recherche .

    Capture d’écran de l’éditeur KQL avec une recherche révisée avec des points de suspension mis en surbrillance pour sélectionner le travail de recherche, ce qui ouvre la fenêtre Mode de travail de recherche.

  7. Spécifiez la plage de dates du travail de recherche à l’aide du sélecteur d’intervalle de temps . Si votre requête spécifie également un intervalle de temps, Microsoft Sentinel exécute la tâche de recherche sur l’union des intervalles de temps.

  8. Entrez un nouveau nom de table pour stocker les résultats du travail de recherche.

  9. Sélectionnez Exécuter le travail de recherche.

  10. Attendez que la tâche de recherche de notification soit effectuée et sélectionnez le bouton pour accéder à la table et afficher les résultats.

Afficher les résultats de la tâche de recherche

Affichez l’état et les résultats de votre tâche de recherche en accédant à l’onglet Recherches enregistrées.

  1. Dans Microsoft Sentinel, sélectionnez Rechercher>Recherches enregistrées.

  2. Sur la carte de recherche, sélectionnez Afficher les résultats de la recherche.

    Capture d’écran montrant le lien pour voir les résultats de la recherche en bas de la carte de tâche de recherche.

    Par défaut, vous voyez tous les résultats qui correspondent à vos critères de recherche d’origine.

  3. Pour affiner la liste des résultats obtenus depuis la table de recherche, sélectionnez Ajouter un filtre.

  4. Lorsque vous examinez les résultats de votre tâche de recherche, sélectionnez Ajouter un signet ou sélectionnez l’icône de signet pour conserver une ligne. L’ajout d’un signet vous permet d’étiqueter des événements, d’ajouter des notes et d’attacher ces événements à un incident pour y faire référence plus tard.

    Capture d’écran montrant les résultats de la tâche de recherche avec un signet en train d’être ajouté.

  5. Sélectionnez le bouton Colonnes et cochez la case en regard des colonnes que vous voulez ajouter à la vue des résultats.

  6. Ajoutez le filtre Marqué d’un signet pour montrer seulement les entrées conservées.

  7. Sélectionnez Afficher tous les signets pour accéder à la page Repérage où vous pouvez ajouter un signet à un incident existant.

Étapes suivantes

Pour en savoir plus, consultez les articles suivants.

  • Last updated on