Introdução
No Microsoft Sentinel, você pode pesquisar períodos longos em conjuntos de dados grandes usando um trabalho de pesquisa. Você também tem a opção de restaurar logs arquivados a serem incluídos no trabalho de pesquisa.
Você é um analista de operações de segurança que trabalha em uma empresa que implementou o Microsoft Sentinel. Você descobre um novo IC (indicador de comprometimento) e precisa investigar se ele já havia sido visto nos logs. Você precisa restaurar logs de arquivamento e executar um trabalho de pesquisa para descobrir instâncias do IC anteriores.
Depois de concluir este módulo, você poderá:
- Usar trabalhos de pesquisa no Microsoft Sentinel
- Restaurar logs de arquivamento no Microsoft Sentinel
Pré-requisitos
Conhecimento básico de conceitos operacionais, como KQL (Linguagem de Consulta Kusto), registro em log e arquivamento
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.