Buscar com um trabalho de pesquisa

  • 3 minutos

Uma das principais atividades de uma equipe de segurança é pesquisar logs em busca de eventos específicos. Por exemplo, você pode pesquisar logs para as atividades de um usuário específico em um determinado período de tempo.

No Microsoft Sentinel, você pode pesquisar períodos longos em conjuntos de dados grandes usando um trabalho de pesquisa. Embora você possa executar um trabalho de pesquisa em qualquer tipo de log, os trabalhos de pesquisa são idealmente adequados para pesquisar logs arquivados. Se você precisar fazer uma investigação completa sobre dados arquivados, poderá restaurar esses dados no cache quente para executar consultas e análises de alto desempenho.

Pesquisar grandes conjuntos de dados

Use um trabalho de pesquisa ao iniciar uma investigação para localizar eventos específicos em logs dentro de um determinado período de tempo. Você pode pesquisar todos os logs para encontrar eventos que correspondam aos seus critérios e filtrar os resultados.

A pesquisa no Microsoft Sentinel é criada com base em trabalhos de pesquisa. Trabalhos de pesquisa são consultas assíncronas que buscam registros. Os resultados são retornados para uma tabela de pesquisa criada em seu workspace do Log Analytics depois que você inicia o trabalho de pesquisa. O trabalho de pesquisa usa o processamento paralelo para executar a pesquisa em conjuntos de dados grandes em longos intervalos de tempo. Portanto, trabalhos de pesquisa não afetam o desempenho ou a disponibilidade do workspace.

Os resultados da pesquisa permanecem em uma tabela de resultados da pesquisa que tem um sufixo *_SRCH .

Tipos de log com suporte

Use a pesquisa para localizar eventos em qualquer um dos seguintes tipos de log:

  • Logs de análise (sem cobrança)
  • Logs básicos
  • Logs auxiliares

Limitações de um trabalho de pesquisa

Antes de iniciar um trabalho de pesquisa, lembre-se das seguintes limitações:

  • Otimizado para consultar uma tabela de cada vez.
  • O intervalo de datas de pesquisa é de até um ano.
  • Suporta pesquisas prolongadas com tempo limite de até 24 horas.
  • Os resultados são limitados a um milhão de registros no conjunto de registros.
  • A execução simultânea é limitada a cinco trabalhos de pesquisa por workspace.
  • Limitado a 100 tabelas de resultados de pesquisa por workspace.
  • Limitado a 100 execuções de trabalho de pesquisa por dia por workspace.

Iniciar um trabalho de pesquisa

Acesse o Microsoft Sentinel no portal do Azure ou no portal do Microsoft Defender para inserir seus critérios de pesquisa. Dependendo do tamanho do conjunto de dados de destino, os tempos de pesquisa variam. Embora a maioria dos trabalhos de pesquisa leve alguns minutos para ser concluída, também há suporte para pesquisas em conjuntos de dados maciços que duram até 24 horas.

  1. No Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Exploração do Data Lake>Pesquisar e restaurar. Para o Microsoft Sentinel noportal do Azure, em Geral , selecionePesquisa.

  2. Selecione o menu Tabela e escolha uma tabela para sua pesquisa.

  3. Na caixa Pesquisa, insira o termo de pesquisa.

  4. Insira uma palavra-chave para sua pesquisa.

    Observação

    Uma palavra-chave é uma palavra ou frase que você deseja pesquisar na tabela selecionada. Você pode usar operadores como AND, OR e NOT para refinar sua pesquisa. Por exemplo, se você quiser pesquisar eventos relacionados a um usuário específico, poderá inserir o nome do usuário como a palavra-chave.

  5. Selecione o Iniciar para abrir o editor avançado da KQL (Linguagem de Consulta Kusto) e a visualização dos resultados de um intervalo de tempo definido.

    Observação

    Isso abre o editor de KQL avançado no portal do Azure.

  6. Altere a consulta da KQL conforme necessário e selecione Executar, para obter uma visualização atualizada dos resultados da pesquisa.

    Captura de tela do editor KQL com pesquisa revisada.

  7. Quando estiver satisfeito com a consulta e a visualização dos resultados da pesquisa, selecione as reticências ... e ative o Modo de trabalho da pesquisa.

    Captura de tela do editor KQL com pesquisa revisada com reticências realçadas para o modo de trabalho de Pesquisa.

  8. Especifique o intervalo de datas da tarefa de busca usando o seletor Intervalo de tempo. Se sua consulta também especificar um intervalo de tempo, o Microsoft Sentinel executará o trabalho de pesquisa na união dos intervalos de tempo.

  9. Quando estiver pronto para iniciar o trabalho de pesquisa, selecione Trabalho de pesquisa.

  10. Insira um novo nome de tabela para armazenar os resultados do trabalho de pesquisa.

  11. Selecione Executar um trabalho de pesquisa.

  12. Aguarde a notificação O trabalho de pesquisa foi concluído, para visualizar os resultados.

Exibir resultados do trabalho de pesquisa

Exiba o status e os resultados do trabalho de pesquisa acessando a guia Pesquisas salvas.

  1. No Microsoft Sentinel no portal do Defender, selecione Exploração do Data Lake>Pesquisar e restaurar>Pesquisas salvas.

  2. No cartão de pesquisa, selecione Exibir resultados da pesquisa.

    Captura de tela que mostra o link para exibir os resultados da pesquisa na parte inferior do cartão de trabalho de pesquisa.

  3. Isso leva você à página de Busca Avançada de Ameaças com a consulta KQL pré-preenchida.

    Captura de tela que mostra os resultados da pesquisa exibidos na página Busca Avançada.

  4. Selecione Executar consulta para ver todos os resultados que correspondem aos critérios de pesquisa originais.

  5. Para refinar a lista de resultados retornados da tabela de pesquisa, selecione Adicionar filtro.