Share via

Mulai penyelidikan dengan mencari peristiwa dalam himpunan data besar

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Salah satu kegiatan utama tim keamanan adalah mencari log untuk peristiwa tertentu. Misalnya, Anda dapat mencari log untuk aktivitas pengguna tertentu dalam jangka waktu tertentu.

Di Microsoft Sentinel, Anda dapat mencari dalam jangka waktu yang lama dalam himpunan data yang sangat besar dengan menggunakan pekerjaan pencarian. Meskipun Anda dapat menjalankan pekerjaan pencarian pada semua jenis log, pekerjaan pencarian sangat cocok untuk mencari log yang diarsipkan. Jika Anda perlu melakukan penyelidikan penuh pada data yang diarsipkan, Anda dapat memulihkan data tersebut ke dalam cache panas untuk menjalankan kueri berperforma tinggi dan analisis yang lebih dalam.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Mencari himpunan data besar

Gunakan pekerjaan pencarian saat Anda memulai penyelidikan untuk menemukan peristiwa tertentu di log dalam jangka waktu tertentu. Anda dapat mencari semua log Anda untuk menemukan peristiwa yang sesuai dengan kriteria Anda dan memfilter hasilnya.

Pencarian di Microsoft Sentinel dibangun di atas pekerjaan pencarian. Pekerjaan pencarian adalah kueri asinkron yang mengambil rekaman. Hasilnya dikembalikan ke tabel pencarian yang dibuat di ruang kerja Analitik Log Anda setelah Anda memulai pekerjaan pencarian. Pekerjaan pencarian menggunakan pemrosesan paralel untuk menjalankan pencarian dalam rentang waktu yang lama, dalam himpunan data yang sangat besar. Jadi pekerjaan pencarian tidak memengaruhi performa atau ketersediaan ruang kerja.

Hasil pencarian disimpan dalam tabel yang memiliki akhiran *_SRCH.

Gambar berikut menunjukkan contoh kriteria pencarian untuk pekerjaan pencarian.

Cuplikan layar halaman pencarian dengan kriteria pencarian administrator, rentang waktu 1 tahun terakhir, dan tabel dipilih.

Jenis log yang didukung

Gunakan pencarian untuk menemukan peristiwa di salah satu jenis log berikut:

Anda juga dapat mencari analitik atau data log dasar yang disimpan dalam log yang diarsipkan.

Keterbatasan pekerjaan pencarian

Sebelum Anda memulai pekerjaan pencarian, waspadai batasan berikut:

  • Dioptimalkan untuk mengkueri satu tabel pada satu waktu.
  • Rentang tanggal pencarian hingga tujuh tahun.
  • Mendukung pencarian jangka panjang hingga batas waktu 24 jam.
  • Hasil dibatasi hingga satu juta catatan dalam kumpulan catatan.
  • Eksekusi bersamaan dibatasi hingga lima pekerjaan pencarian per ruang kerja.
  • Terbatas pada 100 tabel hasil pencarian per ruang kerja.
  • Terbatas pada 100 eksekusi pekerjaan pencarian per hari per ruang kerja.

Pekerjaan pencarian saat ini tidak didukung untuk ruang kerja berikut:

  • Ruang kerja yang diaktifkan kunci yang dikelola pelanggan
  • Ruang kerja di wilayah Tiongkok Timur 2

Untuk mempelajari selengkapnya, lihat Cari Batasan Pekerjaan di dokumentasi Azure Monitor.

Memulihkan data historis dari log yang diarsipkan

Saat Anda perlu melakukan penyelidikan penuh pada data yang disimpan dalam log yang diarsipkan, pulihkan tabel dari halaman Pencarian di Microsoft Sentinel. Tentukan tabel target dan rentang waktu untuk data yang ingin Anda pulihkan. Dalam beberapa menit, data log dipulihkan dan tersedia dalam ruang kerja Analitik Log. Kemudian Anda dapat menggunakan data dalam kueri berperforma tinggi yang mendukung KQL penuh.

Tabel log yang dipulihkan tersedia di tabel baru yang memiliki akhiran *_RST. Data yang dipulihkan tersedia selama data sumber yang mendasarinya tersedia. Tetapi Anda dapat menghapus tabel yang dipulihkan kapan saja tanpa menghapus data sumber yang mendasarinya. Untuk menghemat biaya, sebaiknya Anda menghapus tabel yang dipulihkan saat Anda tidak lagi membutuhkannya.

Gambar berikut menunjukkan opsi pulihkan pada pencarian yang disimpan.

Cuplikan layar tautan pemulihan pada pencarian tersimpan.

Keterbatasan pemulihan log

Sebelum Anda mulai memulihkan tabel log yang diarsipkan, perhatikan batasan berikut:

  • Memulihkan data selama minimal dua hari.
  • Memulihkan data yang berusia lebih dari 14 hari.
  • Memulihkan hingga 60TB.
  • Pemulihan dibatasi pada satu pemulihan aktif per tabel.
  • Pulihkan hingga empat tabel yang diarsipkan per ruang kerja per minggu.
  • Terbatas pada dua pekerjaan pemulihan bersamaan per ruang kerja.

Untuk mempelajari selengkapnya, lihat Memulihkan log di Azure Monitor.

Menandai hasil pencarian atau baris data yang dipulihkan

Saat Anda meninjau hasil pencarian pekerjaan Anda, tandai baris yang berisi informasi yang menurut Anda menarik sehingga Anda dapat melampirkannya ke sebuah insiden atau melihatnya nanti. Untuk informasi selengkapnya, lihat Membuat marka buku.

Langkah berikutnya