Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een van de primaire activiteiten van een beveiligingsteam is het zoeken naar logboeken voor specifieke gebeurtenissen. U kunt bijvoorbeeld logboeken zoeken naar de activiteiten van een specifieke gebruiker binnen een bepaalde periode.
In Microsoft Sentinel kunt u zoeken in lange perioden in extreem grote gegevenssets met behulp van een zoektaak. Hoewel u een zoektaak voor elk type logboek kunt uitvoeren, zijn zoektaken ideaal voor zoeklogboeken met een langetermijnretentiestatus (voorheen archiefstatus). Als u een volledig onderzoek wilt uitvoeren naar dergelijke gegevens, kunt u die gegevens herstellen in een interactieve retentiestatus, zoals uw reguliere Log Analytics-tabellen, om query's met hoge prestaties en een diepere analyse uit te voeren.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.
Vanaf juli 2026 wordt Microsoft Sentinel alleen ondersteund in de Defender-portal en worden alle resterende klanten die azure Portal gebruiken, automatisch omgeleid.
Het is raadzaam dat klanten die Microsoft Sentinel in Azure gebruiken, beginnen met het plannen van de overgang naar de Defender-portal voor de volledige geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Planning van uw overstap naar de Microsoft Defender-portal voor alle Microsoft Sentinel-klanten voor meer informatie.
Grote gegevenssets doorzoeken
Gebruik een zoektaak wanneer u een onderzoek start om binnen een bepaalde periode specifieke gebeurtenissen in logboeken te vinden. U kunt in al uw logboeken zoeken naar gebeurtenissen die voldoen aan uw criteria en de resultaten filteren.
Zoeken in Microsoft Sentinel is gebaseerd op zoektaken. Zoektaken zijn asynchrone query's waarmee records worden opgehaald. De resultaten worden geretourneerd naar een zoektabel die is gemaakt in uw Log Analytics-werkruimte nadat u de zoektaak hebt gestart. De zoektaak maakt gebruik van parallelle verwerking om de zoekopdracht gedurende lange tijdsperioden uit te voeren, in zeer grote gegevenssets. Zoektaken hebben dus geen invloed op de prestaties of beschikbaarheid van de werkruimte.
Zoekresultaten worden opgeslagen in een tabel met de naam met een _SRCH achtervoegsel.
In de volgende afbeelding ziet u voorbeeldzoekcriteria voor een zoektaak.
Ondersteunde logboektypen
Gebruik de zoekfunctie om gebeurtenissen te vinden in een van de volgende logboektypen:
U kunt ook zoeken in analyses of basislogboekgegevens die zijn opgeslagen in langetermijnretentie.
Beperkingen van een zoektaak
Zie beperkingen voor zoektaken in de Documentatie van Azure Monitor.
Logboekgegevens herstellen uit langetermijnretentie
Wanneer u een volledig onderzoek moet uitvoeren naar logboekgegevens in langetermijnretentie, herstelt u een tabel vanaf de pagina Zoeken in Microsoft Sentinel. Geef een doeltabel en tijdsbereik op voor de gegevens die u wilt herstellen. Binnen een paar minuten worden de logboekgegevens hersteld en beschikbaar in de Log Analytics-werkruimte. Vervolgens kunt u de gegevens gebruiken in query's met hoge prestaties die volledige KQL ondersteunen.
Een herstelde logboektabel is beschikbaar in een nieuwe tabel met een *_RST achtervoegsel. De herstelde gegevens zijn beschikbaar zolang de onderliggende brongegevens beschikbaar zijn. U kunt herstelde tabellen echter op elk gewenst moment verwijderen zonder de onderliggende brongegevens te verwijderen. Als u kosten wilt besparen, raden we u aan de herstelde tabel te verwijderen wanneer u deze niet meer nodig hebt.
In de volgende afbeelding ziet u de hersteloptie voor een opgeslagen zoekopdracht.
Beperkingen van het herstellen van logboeken
Zie Beperkingen voor herstellen in de Documentatie van Azure Monitor.
Zoekresultaten bladwijzers of herstelde gegevensrijen
Net als bij het dashboard voor het opsporen van bedreigingen, bladwijzerrijen die informatie bevatten die u interessant vindt, zodat u ze aan een incident kunt koppelen of later kunt raadplegen. Zie Bladwijzers maken voor meer informatie.