Condividi tramite

Avviare un'indagine cercando eventi in set di dati di grandi dimensioni

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Una delle attività principali di un team di sicurezza consiste nel cercare nei log eventi specifici. Ad esempio, è possibile cercare nei log le attività di un utente specifico entro un determinato intervallo di tempo.

In Microsoft Sentinel, è possibile eseguire ricerche su lunghi periodi di tempo in set di dati estremamente grandi usando un processo di ricerca. Anche se è possibile eseguire un processo di ricerca in qualsiasi tipo di log, i processi di ricerca sono ideali per eseguire ricerche nei log in uno stato di conservazione a lungo termine (noto in precedenza come archivio). Se è necessario eseguire un'indagine completa su tali dati, è possibile ripristinarli a uno stato di conservazione interattivo, ad esempio le normali tabelle di Log Analytics, per eseguire query con prestazioni elevate e analisi più approfondite.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Cercare set di dati di grandi dimensioni

Usare un processo di ricerca quando si avvia un'indagine per trovare eventi specifici nei log in un determinato intervallo di tempo. È possibile eseguire ricerche in tutti i log per trovare gli eventi che corrispondono ai propri criteri e filtrare i risultati.

La ricerca in Microsoft Sentinel si basa sui processi di ricerca. I processi di ricerca sono query asincrone che recuperano i record. I risultati vengono restituiti in una tabella di ricerca creata nell'area di lavoro Log Analytics dopo l'avvio del processo di ricerca. Il processo di ricerca usa l'elaborazione parallela per eseguire la ricerca su lunghi intervalli di tempo, in set di dati estremamente grandi. Pertanto, i processi di ricerca non influiscono sulle prestazioni o sulla disponibilità dell'area di lavoro.

I risultati della ricerca vengono archiviati in una tabella denominata con un suffisso _SRCH.

L'immagine seguente mostra i criteri di ricerca di esempio per un processo di ricerca.

Screenshot della pagina di ricerca con i criteri di ricerca dell'amministratore, l'intervallo di tempo dell'ultimo anno e una tabella selezionata.

Tipi di log supportati

Usare la ricerca per trovare gli eventi in uno dei tipi di log seguenti:

È anche possibile cercare i dati di log analitici o di base archiviati nella conservazione a lungo termine.

Limitazioni di un processo di ricerca

Prima di avviare un processo di ricerca, tenere presenti le limitazioni seguenti:

  • Ottimizzata per eseguire query su una tabella alla volta.
  • L'intervallo di date di ricerca è limitato a sette anni.
  • Supporta ricerche a esecuzione prolungata con un timeout massimo di 24 ore.
  • I risultati sono limitati a un milione di record nel set di record.
  • L'esecuzione parallela per utente è limitata a cinque processi di ricerca per area di lavoro.
  • Limitata a 100 tabelle dei risultati della ricerca per area di lavoro.
  • Limitata a 100 esecuzioni di processi di ricerca al giorno per area di lavoro.

I processi di ricerca non sono attualmente supportati per le aree di lavoro seguenti:

  • Aree di lavoro abilitate per la chiave gestita dal cliente
  • Aree di lavoro nell’area geografica Cina orientale 2

Per altre informazioni, vedere Processi di ricerca in Monitoraggio di Azure nella documentazione di Monitoraggio di Azure.

Ripristinare i dati cronologici dai log archiviati

Quando è necessario eseguire un'indagine completa sui dati archiviati nei log archiviati, ripristinare una tabella dalla pagina Ricerca in Microsoft Sentinel. Specificare una tabella di destinazione e un intervallo di tempo per i dati da ripristinare. Entro pochi minuti, i dati dei log vengono ripristinati e sono disponibili nell'area di lavoro Log Analytics. È quindi possibile usare i dati in query ad alte prestazioni che supportano il linguaggio di query Kusto completo.

Una tabella di log ripristinata è disponibile in una nuova tabella con suffisso *_RST. I dati ripristinati sono disponibili finché sono disponibili i dati di origine sottostanti. È tuttavia possibile eliminare le tabelle ripristinate in qualsiasi momento senza eliminare i dati di origine sottostanti. Per risparmiare sui costi, è consigliabile eliminare la tabella ripristinata quando non è più necessaria.

L'immagine seguente mostra l'opzione di ripristino in una ricerca salvata.

Screenshot del collegamento di ripristino in una ricerca salvata.

Limitazioni del ripristino dei log

Prima di iniziare a ripristinare una tabella di log archiviata, tenere presenti le limitazioni seguenti:

  • Ripristinare i dati per un minimo di due giorni.
  • Ripristinare i dati che hanno più di 14 giorni.
  • Ripristinare fino a 60 TB.
  • Il ripristino è limitato a un ripristino attivo per tabella.
  • Ripristinare fino a quattro tabelle archiviate per area di lavoro alla settimana.
  • Limitato a due processi di ripristino simultanei per area di lavoro.

Per ulteriori informazioni, vedere Ripristinare i log in Monitoraggio di Azure.

Aggiungere un contrassegno ai risultati della ricerca o alle righe di dati ripristinate

Analogamente alla dashboard di ricerca delle minacce, contrassegna le righe che contengono informazioni interessanti in modo da poterle allegare a un evento imprevisto o farvi riferimento in un secondo momento. Per altre informazioni, vedere Creare contrassegni.

Passaggi successivi