Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Uma das principais atividades de uma equipe de segurança é pesquisar logs para eventos específicos. Por exemplo, você pode pesquisar logs para as atividades de um usuário específico dentro de um determinado período de tempo.
No Microsoft Sentinel, você pode pesquisar em longos períodos de tempo em conjuntos de dados extremamente grandes usando um trabalho de pesquisa. Embora você possa executar um trabalho de pesquisa em qualquer tipo de log, os trabalhos de pesquisa são ideais para pesquisar logs em um estado de retenção de longo prazo (anteriormente conhecido como arquivamento). Se precisar fazer uma investigação completa desses dados, você pode restaurá-los em um estado de retenção interativo, como suas tabelas regulares do Log Analytics, para executar consultas de alto desempenho e análises mais profundas.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, o Microsoft Sentinel terá suporte apenas no portal do Defender e todos os clientes restantes que usarem o portal do Azure serão redirecionados automaticamente.
Recomendamos que todos os clientes que usam o Microsoft Sentinel no Azure comecem a planejar a transição para o portal do Defender para obter a experiência completa de operações de segurança unificadas oferecida pelo Microsoft Defender. Para obter mais informações, consulte Planejando sua mudança para o portal do Microsoft Defender para todos os clientes do Microsoft Sentinel.
Pesquisar grandes conjuntos de dados
Use um trabalho de pesquisa ao iniciar uma investigação para encontrar eventos específicos em logs dentro de um determinado período de tempo. Pode pesquisar todos os seus registos para encontrar eventos que correspondam aos seus critérios e filtrar os resultados.
A pesquisa no Microsoft Sentinel baseia-se na pesquisa de empregos. Os trabalhos de pesquisa são consultas assíncronas que buscam registros. Os resultados são retornados para uma tabela de pesquisa criada no espaço de trabalho do Log Analytics depois que você inicia o trabalho de pesquisa. O trabalho de pesquisa usa processamento paralelo para executar a pesquisa em longos períodos de tempo, em conjuntos de dados extremamente grandes. Portanto, as vagas de pesquisa não afetam o desempenho ou a disponibilidade do espaço de trabalho.
Os resultados da pesquisa são armazenados em uma tabela nomeada com um sufixo _SRCH .
A imagem a seguir mostra exemplos de critérios de pesquisa para uma vaga de pesquisa.
Tipos de log suportados
Use a pesquisa para localizar eventos em qualquer um dos seguintes tipos de log:
Você também pode pesquisar análises ou dados de log básicos armazenados na retenção de longo prazo.
Limitações de uma procura de emprego
Consulte Limitações de trabalho de pesquisa na documentação do Azure Monitor.
Restaurar dados de log a partir da retenção de longo prazo
Quando precisar realizar uma investigação completa sobre os dados de log em retenção de longo prazo, restaure uma tabela a partir da página Pesquisar no Microsoft Sentinel. Especifique uma tabela de destino e um intervalo de tempo para os dados que você deseja restaurar. Em poucos minutos, os dados de log são restaurados e ficam disponíveis no espaço de trabalho do Log Analytics. Em seguida, você pode usar os dados em consultas de alto desempenho que suportam KQL completo.
Uma tabela de log restaurada está disponível em uma nova tabela que tem um sufixo *_RST. Os dados restaurados estão disponíveis desde que os dados de origem subjacentes estejam disponíveis. Mas você pode excluir tabelas restauradas a qualquer momento sem excluir os dados de origem subjacentes. Para economizar custos, recomendamos que você exclua a tabela restaurada quando não precisar mais dela.
A imagem a seguir mostra a opção de restauração em uma pesquisa salva.
Limitações da restauração de log
Consulte Limitações de restauração na documentação do Azure Monitor.
Marcar resultados de pesquisa ou linhas de dados restauradas
Semelhante ao painel de caça a ameaças, marque linhas que contêm informações que você considera interessantes para que você possa anexá-las a um incidente ou consultá-las mais tarde. Para obter mais informações, consulte Criar marcadores.