Zoeken in lange tijdsperioden in grote gegevenssets
Gebruik een zoektaak wanneer u een onderzoek start om specifieke gebeurtenissen in logboeken tot zeven jaar geleden te vinden. U kunt zoeken naar gebeurtenissen in al uw logboeken, inclusief gebeurtenissen in Analytics-, Basic- en Gearchiveerde logboekplannen. Filter en zoek naar gebeurtenissen die voldoen aan uw criteria.
Zie Een onderzoek starten door te zoeken in grote gegevenssets en zoektaken in Azure Monitor voor meer informatie over concepten en beperkingen van zoektaken.
Voor zoektaken in bepaalde gegevenssets worden mogelijk extra kosten in rekening gebracht. Zie de pagina met prijzen van Microsoft Sentinel voor meer informatie.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Microsoft Sentinel in de Defender-portal wordt nu ondersteund voor productiegebruik. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Een zoektaak starten
Ga naar Zoeken in Microsoft Sentinel vanuit De Azure-portal of de Microsoft Defender-portal om uw zoekcriteria in te voeren. Afhankelijk van de grootte van de doelgegevensset variëren de zoektijden. Hoewel het enkele minuten duurt voordat de meeste zoektaken zijn voltooid, worden zoekopdrachten in enorme gegevenssets die maximaal 24 uur duren, ook ondersteund.
Voor Microsoft Sentinel in Azure Portal selecteert u Zoeken onder Algemeen.
Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Search.Selecteer het menu Tabel en kies een tabel voor uw zoekopdracht.
Voer in het zoekvak een zoekterm in.
Selecteer de start om de geavanceerde Kusto-querytaal -editor (KQL) te openen en een voorbeeld van de resultaten voor een vast tijdsbereik te bekijken.
Wijzig de KQL-query indien nodig en selecteer Uitvoeren om een bijgewerkt voorbeeld van de zoekresultaten te krijgen.
Wanneer u tevreden bent met de query en het voorbeeld van zoekresultaten, selecteert u het beletselteken ... en schakelt u de zoektaakmodus in.
Selecteer het juiste tijdsbereik.
Los KQL-problemen op die worden aangegeven met een golvende rode lijn in de editor.
Wanneer u klaar bent om de zoektaak te starten, selecteert u De zoektaak.
Voer een nieuwe tabelnaam in om de zoekresultaten op te slaan.
Selecteer Een zoektaak uitvoeren.
Wacht totdat de zoektaak voor meldingen is voltooid om de resultaten weer te geven.
Zoekresultaten weergeven
Bekijk de status en resultaten van uw zoektaak door naar het tabblad Opgeslagen zoekopdrachten te gaan.
Selecteer In>Microsoft Sentinel opgeslagen zoekopdrachten zoeken.
Selecteer Zoekresultaten weergeven op de zoekkaart.
Standaard ziet u alle resultaten die overeenkomen met uw oorspronkelijke zoekcriteria.
Als u de lijst met resultaten wilt verfijnen die worden geretourneerd uit de zoektabel, selecteert u Filter toevoegen.
Wanneer u de zoekresultaten van uw zoektaak bekijkt, selecteert u Bladwijzer toevoegen of selecteert u het bladwijzerpictogram om een rij te behouden. Door een bladwijzer toe te voegen, kunt u gebeurtenissen taggen, notities toevoegen en deze gebeurtenissen toevoegen aan een incident voor later gebruik.
Selecteer de knop Kolommen en schakel het selectievakje in naast kolommen die u wilt toevoegen aan de resultatenweergave.
Voeg het filter Bladwijzer toe om alleen bewaarde items weer te geven.
Selecteer Alle bladwijzers weergeven om naar de opsporingspagina te gaan, waar u een bladwijzer kunt toevoegen aan een bestaand incident.
Volgende stappen
Zie de volgende artikelen voor meer informatie.