パフォーマンスの高いクエリと分析で使用するように、アーカイブされたログからデータを復元します。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
前提条件
アーカイブされたログ内のデータを復元する前に、「Azure モニターでの復元」を参照してください。
アーカイブされたログ データを復元する
Microsoft Sentinelでアーカイブされたログ データを復元するには、復元するデータのテーブルと時間範囲を指定します。 数分以内に、ログ データは Log Analytics ワークスペース内で使用できます。 その後、フル Kusto 照会言語 (KQL) をサポートする高パフォーマンス クエリでデータを使用できます。
アーカイブされたデータを [検索 ] ページまたは保存された検索から直接復元します。
Defender ポータルでは、このページはMicrosoft Sentinelルート レベルにあります。 Microsoft Sentinelで、[検索] を選択します。 Azure portalでは、このページは [全般] の下に一覧表示されます。
次のいずれかの方法を使用してログ データを復元します。
ページの上部にある [
Restore ] を選択します。 横の [ 復元 ] ウィンドウで、復元するテーブルと時間範囲を選択し、 ウィンドウの下部にある [復元] を選択します。[ 保存された検索] を選択し、復元する検索結果を見つけて、[復元] を選択 します。 複数のテーブルがある場合は、復元するテーブルを選択し、サイド ウィンドウで [アクション] > [復元 ] を選択します。 例:
ログ データが復元されるまで待ちます。 [ 復元] タブ を選択して、復元ジョブの状態を表示します。
復元されたログ データを表示する
[ 復元 ] タブに移動して、ログ データの復元の状態と結果を表示します。復元ジョブの状態に [使用可能なデータ] が表示されている場合は、復元 されたデータを表示できます。
Microsoft Sentinelで、[検索>Restoration] を選択します。
復元ジョブが完了し、状態が更新されたら、テーブル名を選択して結果を確認します。
Azure portalの [ログ] クエリ ページに結果が表示されます。 Defender ポータルの [高度なハンティング] ページに結果が表示されます。
例:
[時間範囲] は、復元されたデータの開始時刻と終了時刻を使用するカスタム時間範囲に設定されます。
復元されたデータ テーブルを削除する
コストを節約するために、復元されたテーブルは不要になったときに削除することをお勧めします。 復元されたテーブルを削除しても、基になるソース データは削除されません。
Microsoft Sentinelで、[検索>Restoration] を選択し、削除するテーブルを特定します。
復元されたテーブルを 削除 するには、そのテーブル行の [削除] を選択します。