Repérer avec un travail de recherche

  • 3 minutes

L’une des activités principales d’une équipe de sécurité consiste à rechercher des événements spécifiques dans les journaux. Par exemple, vous pouvez rechercher dans les journaux les activités d’un utilisateur spécifique dans un laps de temps donné.

Dans Microsoft Sentinel, vous pouvez utiliser un travail de recherche pour effectuer des recherches dans des jeux de données volumineux sur de longues périodes. Bien que vous puissiez exécuter une tâche de recherche sur n’importe quel type de journal, les tâches de recherche sont idéalement adaptées à la recherche de journaux archivés. Si vous devez effectuer une investigation complète sur les données archivées, vous pouvez restaurer ces données dans le cache à chaud pour exécuter des requêtes et des analyses hautes performances.

Rechercher dans les jeux de données volumineux

Utilisez une tâche de recherche quand vous démarrez une investigation pour rechercher des événements spécifiques dans les journaux pour un délai d’exécution donné. Vous pouvez rechercher dans tous vos journaux des événements qui correspondent à vos critères et filtrer les résultats.

La recherche dans Microsoft Sentinel repose sur des tâches de recherche. Les tâches de recherche sont des requêtes asynchrones qui extraient des enregistrements. Les résultats sont retournés à une table de recherche qui est créée dans votre espace de travail Log Analytics après le démarrage de la tâche de recherche. La tâche de recherche utilise le traitement parallèle pour exécuter la recherche dans des jeux de données volumineux sur des intervalles de temps longs. Les tâches de recherche n’affectent donc pas les performances ni la disponibilité de l’espace de travail.

Les résultats de la recherche sont conservés dans une table des résultats de recherche qui a un suffixe *_SRCH.

Types de journaux pris en charge

Utilisez la recherche pour trouver des événements dans l’un des types de journaux suivants :

  • Journaux d’analytique
  • Journaux de base

Limitations d’une tâche de recherche

Avant de démarrer une tâche de recherche, tenez compte des limitations suivantes :

  • Optimisé pour interroger une table à la fois.
  • La plage de dates de recherche est d’un an.
  • Prend en charge les recherches de longue durée jusqu’à un délai d’expiration de 24 heures.
  • Les résultats sont limités à 1 million d’enregistrements dans le jeu d’enregistrements.
  • L’exécution simultanée est limitée à cinq tâches de recherche par espace de travail.
  • Limité à 100 tables de résultats de recherche par espace de travail.
  • Limité à 100 exécutions de tâches de recherche par jour et par espace de travail.

Commencer une tâche de recherche

Accédez à Recherche dans Microsoft Sentinel pour entrer vos critères de recherche.

  1. Dans le portail Azure, accédez à Microsoft Sentinel et sélectionnez l’espace de travail approprié.

  2. Sous Général, sélectionnez Rechercher (préversion).

  3. Dans la zone Recherche, entrez le terme de recherche.

  4. Sélectionnez l’Intervalle de temps approprié.

  5. Sélectionnez la Table dans laquelle vous souhaitez effectuer la recherche.

  6. Lorsque vous êtes prêt à démarrer la tâche de recherche, sélectionnez Rechercher.

    Lorsque la tâche de recherche démarre, une notification ainsi que l’état de la tâche s’affichent sur la page de recherche.

  7. Attendez la fin de votre tâche de recherche. Selon votre jeu de données et vos critères de recherche, l’exécution de la tâche de recherche peut prendre de quelques minutes à 24 heures. Si votre tâche de recherche prend plus de 24 heures, elle expire. Si cela se produit, affinez vos critères de recherche et réessayez.

Afficher les résultats de la tâche de recherche

Affichez l’état et les résultats de votre tâche de recherche en accédant à l’onglet Recherches enregistrées.

  1. Dans votre espace de travail Microsoft Sentinel, sélectionnez Rechercher > Recherches enregistrées.

  2. Sur la carte de recherche, sélectionnez Afficher les résultats de la recherche.

  3. Par défaut, vous voyez tous les résultats qui correspondent à vos critères de recherche d’origine. Dans la requête de recherche, observez les colonnes de temps référencées.

    • TimeGenerated représente la date et l’heure auxquelles les données ont été ingérées dans la table de recherche.
    • _OriginalTimeGenerated représente la date et l’heure de création de l’enregistrement.

  4. Pour affiner la liste des résultats obtenus depuis la table de recherche, modifiez la requête KQL.

  5. Lorsque vous examinez les résultats de votre tâche de recherche, ajoutez un signet sur les lignes qui contiennent des informations que vous jugez intéressantes afin de les relier à un incident ou de vous y référer ultérieurement.