Partilhar via

Inicie uma investigação pesquisando eventos em grandes conjuntos de dados

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Uma das principais atividades de uma equipe de segurança é pesquisar logs para eventos específicos. Por exemplo, você pode pesquisar logs para as atividades de um usuário específico dentro de um determinado período de tempo.

No Microsoft Sentinel, você pode pesquisar em longos períodos de tempo em conjuntos de dados extremamente grandes usando um trabalho de pesquisa. Embora você possa executar um trabalho de pesquisa em qualquer tipo de log, os trabalhos de pesquisa são ideais para pesquisar logs em um estado de retenção de longo prazo (anteriormente conhecido como arquivamento). Se precisar fazer uma investigação completa desses dados, você pode restaurá-los em um estado de retenção interativo, como suas tabelas regulares do Log Analytics, para executar consultas de alto desempenho e análises mais profundas.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pesquisar grandes conjuntos de dados

Use um trabalho de pesquisa ao iniciar uma investigação para encontrar eventos específicos em logs dentro de um determinado período de tempo. Pode pesquisar todos os seus registos para encontrar eventos que correspondam aos seus critérios e filtrar os resultados.

A pesquisa no Microsoft Sentinel baseia-se na pesquisa de empregos. Os trabalhos de pesquisa são consultas assíncronas que buscam registros. Os resultados são retornados para uma tabela de pesquisa criada no espaço de trabalho do Log Analytics depois que você inicia o trabalho de pesquisa. O trabalho de pesquisa usa processamento paralelo para executar a pesquisa em longos períodos de tempo, em conjuntos de dados extremamente grandes. Portanto, as vagas de pesquisa não afetam o desempenho ou a disponibilidade do espaço de trabalho.

Os resultados da pesquisa são armazenados em uma tabela nomeada com um sufixo _SRCH .

A imagem a seguir mostra exemplos de critérios de pesquisa para uma vaga de pesquisa.

Captura de ecrã da página de pesquisa com os critérios de pesquisa do administrador, intervalo de tempo do último 1 ano e uma tabela selecionada.

Tipos de log suportados

Use a pesquisa para localizar eventos em qualquer um dos seguintes tipos de log:

Você também pode pesquisar análises ou dados básicos de log armazenados na retenção de longo prazo.

Limitações de uma procura de emprego

Antes de começar uma tarefa de pesquisa, tenha em atenção as seguintes limitações:

  • Otimizado para consultar uma tabela de cada vez.
  • O intervalo de datas de pesquisa é de até sete anos.
  • Suporta pesquisas de longa duração até um tempo limite de 24 horas.
  • Os resultados são limitados a um milhão de recordes no conjunto de recordes.
  • A execução simultânea por usuário é limitada a cinco trabalhos de pesquisa por espaço de trabalho.
  • Limitado a 100 tabelas de resultados de pesquisa por espaço de trabalho.
  • Limitado a 100 execuções de trabalho de pesquisa por dia, por espaço de trabalho.

Atualmente, não há suporte para vagas de pesquisa nos seguintes espaços de trabalho:

  • Espaços de trabalho habilitados para chave gerenciados pelo cliente
  • Espaços de trabalho na região Leste da China 2

Para saber mais, consulte Pesquisar trabalho no Azure Monitor na documentação do Azure Monitor.

Restaurar dados históricos de logs arquivados

Quando precisar fazer uma investigação completa sobre os dados armazenados em logs arquivados, restaure uma tabela da página Pesquisar no Microsoft Sentinel. Especifique uma tabela de destino e um intervalo de tempo para os dados que você deseja restaurar. Em poucos minutos, os dados de log são restaurados e ficam disponíveis no espaço de trabalho do Log Analytics. Em seguida, você pode usar os dados em consultas de alto desempenho que suportam KQL completo.

Uma tabela de log restaurada está disponível em uma nova tabela que tem um sufixo *_RST. Os dados restaurados estão disponíveis desde que os dados de origem subjacentes estejam disponíveis. Mas você pode excluir tabelas restauradas a qualquer momento sem excluir os dados de origem subjacentes. Para economizar custos, recomendamos que você exclua a tabela restaurada quando não precisar mais dela.

A imagem a seguir mostra a opção de restauração em uma pesquisa salva.

Captura de tela do link de restauração em uma pesquisa salva.

Limitações da restauração de log

Antes de começar a restaurar uma tabela de log arquivada, esteja ciente das seguintes limitações:

  • Restaure os dados por um período mínimo de dois dias.
  • Restaure dados com mais de 14 dias.
  • Restaure até 60 TB.
  • A restauração é limitada a uma restauração ativa por tabela.
  • Restaure até quatro tabelas arquivadas por espaço de trabalho por semana.
  • Limitado a dois trabalhos de restauração simultâneos por espaço de trabalho.

Para saber mais, consulte Restaurar logs no Azure Monitor.

Marcar resultados de pesquisa ou linhas de dados restauradas

Semelhante ao painel de caça a ameaças, marque linhas que contêm informações que você considera interessantes para que você possa anexá-las a um incidente ou consultá-las mais tarde. Para obter mais informações, consulte Criar marcadores.

Próximos passos