Introduction
Dans Microsoft Sentinel, vous pouvez utiliser un travail de recherche pour effectuer des recherches dans des jeux de données volumineux sur de longues périodes. Vous pouvez également restaurer les journaux archivés à inclure dans le travail de recherche.
Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise ayant mis en œuvre Microsoft Sentinel. Vous découvrez un nouvel indicateur de compromission et devez investiguer si l’IdC a été vu précédemment dans les journaux. Vous devez restaurer les journaux d’archivage et exécuter un travail de recherche pour découvrir les instances précédentes de l’IdC.
À l’issue de ce module, vous pourrez :
- Utiliser des travaux de recherche dans Microsoft Sentinel
- Restaurer des journaux d’archivage dans Microsoft Sentinel
Prérequis
Connaissance de base des concepts opérationnels comme le langage KQL, la journalisation et l’archivage