はじめに
Microsoft Sentinel で検索ジョブを使用すると、大規模なデータセットを長い期間にわたって検索できます。 また、アーカイブされたログを復元して検索ジョブに含めるオプションもあります。
あなたは Microsoft Sentinel を実装した企業で働いているセキュリティ運用アナリストです。 あなたは侵害を示す新しいインジケーターを検出し、その IoC がこれまでログにあったかかどうかを調査する必要があります。 アーカイブ ログを復元し、検索ジョブを実行して、以前のその IoC のインスタンスを検出する必要があります。
このモジュールを終了すると、次のことができるようになります。
- Microsoft Sentinel で検索ジョブを使用する
- Microsoft Sentinel でアーカイブ ログを復元する
前提条件
KQL、ログ記録、アーカイブなどの運用上の概念に関する基本的な知識