Rilevare con un processo di ricerca

  • 3 minuti

Una delle attività principali di un team di sicurezza consiste nel cercare nei log eventi specifici. Ad esempio, è possibile cercare nei log le attività di un utente specifico entro un determinato intervallo di tempo.

In Microsoft Sentinel è possibile eseguire ricerche in periodi di tempo lunghi in set di dati di grandi dimensioni usando un processo di ricerca. Sebbene sia possibile eseguire un processo di ricerca in qualsiasi tipo di log, i processi di ricerca sono ideali per eseguire ricerche nei log archiviati. Se è necessario eseguire un'indagine completa sui dati archiviati, è possibile ripristinare tali dati nella cache ad accesso frequente per eseguire query e analisi con prestazioni elevate.

Eseguire ricerche in set di dati di grandi dimensioni

Usare un processo di ricerca quando si avvia un'indagine per trovare eventi specifici nei log in un determinato intervallo di tempo. È possibile eseguire ricerche in tutti i log per trovare gli eventi che corrispondono ai propri criteri e filtrare i risultati.

La ricerca in Microsoft Sentinel si basa sui processi di ricerca. I processi di ricerca sono query asincrone che recuperano i record. I risultati vengono restituiti in una tabella di ricerca creata nell'area di lavoro Log Analytics dopo l'avvio del processo di ricerca. Il processo di ricerca usa l'elaborazione parallela per eseguire la ricerca in lunghi intervalli di tempo, in set di dati di grandi dimensioni. Pertanto, i processi di ricerca non influiscono sulle prestazioni o sulla disponibilità dell'area di lavoro.

I risultati della ricerca rimangono in una tabella dei risultati della ricerca con suffisso *_SRCH.

Tipi di log supportati

Usare la ricerca per trovare gli eventi in uno dei tipi di log seguenti:

  • Log di analisi
  • Log di base

Limitazioni di un processo di ricerca

Prima di avviare un processo di ricerca, tenere presenti le limitazioni seguenti:

  • Ottimizzata per eseguire query su una tabella alla volta.
  • L'intervallo di date di ricerca è limitato a un anno.
  • Supporta ricerche a esecuzione prolungata con un timeout massimo di 24 ore.
  • I risultati sono limitati a un milione di record nel set di record.
  • L'esecuzione simultanea è limitata a cinque processi di ricerca per area di lavoro.
  • Limitata a 100 tabelle dei risultati della ricerca per area di lavoro.
  • Limitata a 100 esecuzioni di processi di ricerca al giorno per area di lavoro.

Avviare un processo di ricerca

Passare a Cerca in Microsoft Sentinel per immettere i criteri di ricerca.

  1. Nel portale di Azure passare a Microsoft Sentinel e selezionare l'area di lavoro appropriata.

  2. In Generale selezionare Ricerca (anteprima).

  3. Nella casella Cerca immettere il termine di ricerca.

  4. Selezionare l'intervallo di tempo appropriato.

  5. Selezionare la tabella in cui eseguire la ricerca.

  6. Quando si è pronti per avviare il processo di ricerca, selezionare Cerca.

    All'avvio del processo di ricerca, nella pagina di ricerca vengono visualizzati una notifica e lo stato del processo.

  7. Attendere il completamento del processo di ricerca. A seconda del set di dati e dei criteri di ricerca, il completamento del processo di ricerca può richiedere da alcuni minuti a circa 24 ore. Se il processo di ricerca richiede più di 24 ore, si raggiunge il timeout e in questo caso occorre perfezionare i criteri di ricerca e riprovare.

Visualizzare i risultati del processo di ricerca

Per visualizzare lo stato e i risultati del processo di ricerca, passare alla scheda Ricerche salvate.

  1. Nell'area di lavoro di Microsoft Sentinel selezionare Cerca > Ricerche salvate.

  2. Nella scheda di ricerca selezionare Visualizza risultati della ricerca.

  3. Per impostazione predefinita, vengono visualizzati tutti i risultati corrispondenti ai criteri di ricerca originali. Nella query di ricerca notare le colonne relative a data e ora a cui si fa riferimento.

    • TimeGenerated rappresenta la data e l'ora in cui i dati sono stati inseriti nella tabella di ricerca.
    • _OriginalTimeGenerated rappresenta la data e l'ora di creazione del record.

  4. Per perfezionare l'elenco dei risultati restituiti dalla tabella di ricerca, modificare la query KQL.

  5. Quando si esaminano i risultati del processo di ricerca, contrassegnare le righe che contengono informazioni interessanti, in modo da poterle allegare a un evento imprevisto o farvi riferimento in un secondo momento.