Поделиться через

Запуск исследования путем поиска событий в больших наборах данных

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Одной из основных задач команды по безопасности является поиск в журналах конкретных событий. Например, вы можете искать в журналах действия конкретного пользователя за определенный промежуток времени.

В Microsoft Sentinel можно выполнять поиск по длинным периодам времени в чрезвычайно больших наборах данных с помощью задания поиска. Хотя вы можете запустить задание поиска в любом типе журнала, задания поиска идеально подходят для поиска журналов в долгосрочном хранении (ранее известном как архив). Если необходимо выполнить полное исследование таких данных, вы можете восстановить эти данные в интерактивном состоянии хранения( например, в обычных таблицах Log Analytics), чтобы выполнять высокопроизводительные запросы и более глубокий анализ.

Внимание

Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Поиск крупных наборов данных

Используйте задание поиска при запуске исследования для поиска конкретных событий в журналах за определенный промежуток времени. Вы можете выполнить поиск по всем журналам, чтобы найти события, соответствующие вашим критериям, и отфильтровать результаты.

Поиск в Microsoft Sentinel строится на основе заданий поиска. Задания поиска — это асинхронные запросы, извлекающие записи. Результаты возвращаются в таблицу поиска, создаваемую в рабочей области Log Analytics после запуска задания поиска. Задание поиска использует параллельную обработку для выполнения поиска по длинным интервалам времени в очень больших наборах данных. Поэтому задания поиска не влияют на производительность или доступность рабочей области.

Результаты поиска хранятся в таблице с суффиксом _SRCH .

На рисунке ниже показан пример критерия поиска для задания поиска.

Снимок экрана: страница поиска с критериями поиска администратора, диапазоном времени за последние 1 год и выбранной таблицей.

Поддерживаемые типы журналов

Используйте поиск, чтобы найти события в журналах любого из следующих типов:

Вы также можете выполнять поиск по аналитике или базовым данным журнала, хранящимся в долгосрочном хранении.

Ограничения задания поиска

Перед запуском задания поиска учитывайте следующие ограничения:

  • Оптимизировано для запроса одной таблицы за раз.
  • Диапазон дат поиска составляет до семи лет.
  • Поддержка длительного поиска, время ожидания: до 24 часов.
  • Результаты ограничены 1 млн записей в наборе записей.
  • Параллельное выполнение на пользователя ограничено пятью заданиями поиска на рабочую область.
  • Существует ограничение до 100 таблиц результатов поиска на рабочую область.
  • Ограничено в 100 выполнений заданий поиска в день на рабочую область.

В настоящее время задания поиска не поддерживаются для следующих рабочих областей:

  • Рабочие области с поддержкой управляемых клиентом ключей
  • Рабочие области в регионе "Восточная часть Китая 2"

Дополнительные сведения приведены в разделе Задание поиска в Azure Monitor в документации Azure Monitor.

Восстановление исторических данных из архивных журналов

Если необходимо выполнить полное исследование данных, хранящихся в архивных журналах, восстановите таблицу со страницы Поиск в Microsoft Sentinel. Укажите целевую таблицу и диапазон времени для восстанавливаемых данных. В течение нескольких минут данные журналов восстановятся и станут доступными в рабочей области Log Analytics. Затем эти данные можно будет использовать в высокопроизводительных запросах, поддерживающих полную строку запроса KQL.

Восстановленная таблица журнала доступна в новой таблице с суффиксом *_RST. Восстановленные данные доступны при условии доступности базовых исходных данных. Но восстановленные таблицы можно удалить в любое время, сохраняя базовые исходные данные. Чтобы сократить затраты, рекомендуется удалить восстановленную таблицу, если она больше не нужна.

На рисунке ниже показан параметр восстановления для сохраненного поиска.

Снимок экрана: ссылка на восстановление в сохраненном поиске.

Ограничения восстановления журнала

Прежде чем приступить к восстановлению таблицы архивных журналов, учитывайте указанные далее ограничения.

  • Восстановление данных минимум за два дня.
  • Восстановление данных более чем 14-дневной давности.
  • Восстановление данных: до 60 ТБ.
  • Ограничено одним активным восстановлением на таблицу.
  • Допускается восстановление до четырех архивных таблиц на рабочую область в неделю.
  • Ограничено двумя одновременно выполняемыми заданиями восстановления на рабочую область.

Дополнительные сведения см. в разделе Восстановление журналов в Azure Monitor.

Результаты поиска закладок или восстановленные строки данных

По аналогии с панелью мониторинга охоты за угрозами добавьте в закладки строки с интересующей вас информацией, чтобы позже к ним можно было обратиться или прикрепить их к инциденту. Дополнительные сведения см. в разделе Создание закладок.

Следующие шаги