Restaurar registos arquivados a partir da pesquisa

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Restaure dados a partir de um registo arquivado para utilizar em consultas e análises de alto desempenho.

Importante

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.

Pré-requisitos

Antes de restaurar dados num registo arquivado, veja Restaurar no Monitor do Azure.

Restaurar dados de registo arquivados

Para restaurar dados de registo arquivados no Microsoft Sentinel, especifique a tabela e o intervalo de tempo dos dados que pretende restaurar. Dentro de alguns minutos, os dados de registo estão disponíveis na área de trabalho do Log Analytics. Em seguida, pode utilizar os dados em consultas de alto desempenho que suportam Linguagem de Pesquisa Kusto completas (KQL).

Restaure os dados arquivados diretamente a partir da página De pesquisa ou de uma pesquisa guardada.

  1. No portal do Defender, esta página está no nível de raiz Microsoft Sentinel. Em Microsoft Sentinel, selecione Procurar. Na portal do Azure, esta página está listada em Geral.

  2. Restaure os dados de registo com um dos seguintes métodos:

    • Selecione Restaurar na parte superior da página. No painel Restauro na parte lateral, selecione a tabela e o intervalo de tempo que pretende restaurar e, em seguida, selecione Restaurar na parte inferior do painel.

    • Selecione Pesquisas guardadas, localize os resultados da pesquisa que pretende restaurar e, em seguida, selecione Restaurar. Se tiver várias tabelas, selecione aquela que pretende restaurar e, em seguida, selecione Ações > Restaurar no painel lateral. Por exemplo:

      Captura de ecrã a mostrar o restauro de uma pesquisa de site específica.

  3. Aguarde que os dados de registo sejam restaurados. Veja o estado da tarefa de restauro ao selecionar no separador Restauro .

Ver dados de registo restaurados

Veja o estado e os resultados do restauro dos dados de registo ao aceder ao separador Restauro . Pode ver os dados restaurados quando o estado da tarefa de restauro mostrar Dados Disponíveis.

  1. Em Microsoft Sentinel, selecione Restauro da Pesquisa>.

  2. Quando a tarefa de restauro estiver concluída e o estado for atualizado, selecione o nome da tabela e reveja os resultados.

    Na portal do Azure, os resultados são apresentados na página Consulta de registos. No portal do Defender, os resultados são apresentados na página Investigação avançada .

    Por exemplo:

    Captura de ecrã a mostrar o painel de consulta de registos com os resultados da tabela restaurada.

    O Intervalo de tempo é definido para um intervalo de tempo personalizado que utiliza as horas de início e de fim dos dados restaurados.

Eliminar tabelas de dados restauradas

Para poupar custos, recomendamos que elimine a tabela restaurada quando já não precisar dela. Quando elimina uma tabela restaurada, os dados de origem subjacentes não são eliminados.

  1. Em Microsoft Sentinel, selecioneRestauro da Pesquisa> e identifique a tabela que pretende eliminar.

  2. Selecione Eliminar para essa linha de tabela para eliminar a tabela restaurada.

Passos seguintes

  • Last updated on