Compartilhar via

Pesquisar grandes conjuntos de dados em longos períodos

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Use um trabalho de pesquisa ao iniciar uma investigação para localizar eventos específicos em logs de até sete anos. Você pode pesquisar eventos em todos os logs, incluindo eventos em planos de log Análise, Básico e Arquivado. Filtre e procure eventos que correspondam aos seus critérios.

Importante

O Microsoft Sentinel está disponível como parte da plataforma de operações de segurança unificada no portal do Microsoft Defender. O Microsoft Sentinel no portal do Defender agora tem suporte para o uso em produção. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Iniciar um trabalho de pesquisa

Acesse Search no Microsoft Sentinel no portal do Azure ou no portal do Microsoft Defender, para inserir os critérios de pesquisa. Dependendo do tamanho do conjunto de dados de destino, os tempos de pesquisa variam. Embora a maioria dos trabalhos de pesquisa leve alguns minutos para ser concluída, também há suporte para pesquisas em conjuntos de dados maciços que duram até 24 horas.

  1. Para o Microsoft Sentinel noportal do Azure, em Geral , selecioneSearch.
    Para o Microsoft Sentinel no portal do Defender, selecioneMicrosoft Sentinel>Search.

  2. Selecione o menu Tabela e escolha uma tabela para sua pesquisa.

  3. Na caixa Pesquisar, insira o termo de pesquisa.

  4. Selecione o Início para abrir o editor avançado da KQL (Linguagem de Consulta Kusto) e a pré-visualização dos resultados de um intervalo de tempo definido.

  5. Altere a consulta da KQL conforme necessário e selecione Executar, para obter uma visualização atualizada dos resultados da pesquisa.

    Captura de tela do editor KQL com pesquisa revisada.

  6. Quando estiver satisfeito com a consulta e a visualização dos resultados da pesquisa, selecione as reticências ... e ative o Modo de trabalho da pesquisa.

    Captura de tela do editor KQL com pesquisa revisada com reticências realçadas para o modo de trabalho de Pesquisa.

  7. Selecione o Intervalo de tempo apropriado.

  8. Resolva quaisquer problemas da KQL indicados por uma linha vermelha curvada no editor.

  9. Quando estiver pronto para iniciar o trabalho de pesquisa, selecione Trabalho de pesquisa.

  10. Insira um novo nome de tabela para armazenar os resultados do trabalho de pesquisa.

  11. Selecione Executar um trabalho de pesquisa.

  12. Aguarde a notificação O trabalho de pesquisa foi concluído, para visualizar os resultados.

Exibir resultados do trabalho de pesquisa

Exiba o status e os resultados do trabalho de pesquisa acessando a guia Pesquisas salvas.

  1. No Microsoft Sentinel, selecione Pesquisar>Pesquisas Salvas.

  2. No cartão de pesquisa, selecione Exibir resultados da pesquisa.

    Captura de tela que mostra o link para exibir os resultados da pesquisa na parte inferior do cartão de trabalho de pesquisa.

    Por padrão, você verá todos os resultados correspondentes aos critérios de pesquisa originais.

  3. Para refinar a lista de resultados retornados da tabela de pesquisa, selecione Adicionar filtro.

  4. Ao examinar os resultados do trabalho de pesquisa, selecione Adicionar indicador ou selecione o ícone de indicador para preservar uma linha. Adicionar um indicador permite marcar eventos, adicionar anotações e anexar esses eventos a um incidente para referência posterior.

    Captura de tela que mostra os resultados do trabalho de pesquisa com um indicador no processo de adição.

  5. Selecione o botão Colunas e selecione a caixa de seleção ao lado das colunas a adicionar à exibição de resultados.

  6. Adicione o filtro Indicado para mostrar apenas as entradas preservadas.

  7. Selecione Exibir todos os indicadores para acessar a página Busca, na qual você poderá adicionar um indicador a um incidente existente.

Próximas etapas

Para saber mais, leia os artigos a seguir.