Aracılığıyla paylaş

Büyük veri kümelerindeki olayları arayarak araştırma başlatın

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Güvenlik ekibinin birincil etkinliklerinden biri, günlüklerde belirli olaylar için arama yapmaktır. Örneğin, belirli bir zaman çerçevesinde belirli bir kullanıcının etkinlikleri için günlüklerde arama gerçekleştirebilirsiniz.

Microsoft Sentinel'de, bir arama işini kullanarak son derece büyük veri kümelerinde uzun zaman aralıklarında arama yapabilirsiniz. Herhangi bir günlük türünde bir arama işi çalıştırabilirsiniz ancak arama işleri arşivlenmiş günlükleri aramak için idealdir. Arşivlenen veriler üzerinde tam bir araştırma yapmanız gerekiyorsa, yüksek performanslı sorgular ve daha derin analizler çalıştırmak için bu verileri sık erişimli önbelleğe geri yükleyebilirsiniz.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Büyük veri kümelerinde arama

Belirli bir zaman çerçevesindeki günlüklerde belirli olayları bulmak için bir araştırma başlattığınızda bir arama işi kullanın. Ölçütlerinizle eşleşen olayları bulmak ve sonuçları filtrelemek için tüm günlüklerinizde arama yapabilirsiniz.

Microsoft Sentinel'de arama, arama işlerinin üzerine kurulmuştur. Arama işleri, kayıtları getiren zaman uyumsuz sorgulardır. Sonuçlar, siz arama işini başlattıktan sonra Log Analytics çalışma alanınızda oluşturulan bir arama tablosuna döndürülür. Arama işi, aramayı çok büyük veri kümelerinde uzun zaman aralıklarında çalıştırmak için paralel işleme kullanır. Bu nedenle arama işleri çalışma alanının performansını veya kullanılabilirliğini etkilemez.

Arama sonuçları *_SRCH soneki olan bir tabloda depolanır.

Aşağıdaki resimde bir arama işi için örnek arama ölçütleri gösterilmektedir.

Yöneticinin arama ölçütlerinin, son 1 yılın zaman aralığının ve bir tablonun seçili olduğu arama sayfasının ekran görüntüsü.

Desteklenen günlük türleri

Aşağıdaki günlük türlerinden herhangi birinde olayları bulmak için aramayı kullanın:

Arşivlenmiş günlüklerde depolanan analiz veya temel günlük verilerini de arayabilirsiniz.

Arama işinin sınırlamaları

Arama işi başlatmadan önce aşağıdaki sınırlamaları göz önünde bulundurun:

  • Bir kerede bir tabloyu sorgulamak için iyileştirildi.
  • Arama tarihi aralığı yedi yıla kadardır.
  • 24 saatlik zaman aşımına kadar uzun süre çalışan aramaları destekler.
  • Sonuçlar, kayıt kümesindeki bir milyon kayıtla sınırlıdır.
  • Kullanıcı başına eşzamanlı yürütme, çalışma alanı başına beş arama işiyle sınırlıdır.
  • Çalışma alanı başına 100 arama sonuçları tablosuyla sınırlıdır.
  • Çalışma alanı başına günde 100 arama işi yürütmesi ile sınırlıdır.

Arama işleri şu anda aşağıdaki çalışma alanları için desteklenmemektedir:

  • Müşteri tarafından yönetilen anahtar özellikli çalışma alanları
  • Çin Doğu 2 bölgesindeki çalışma alanları

Daha fazla bilgi edinmek için Azure İzleyici belgelerindeki Azure İzleyici'de arama işi bölümüne bakın.

Arşivlenmiş günlüklerden geçmiş verileri geri yükleme

Arşivlenmiş günlüklerde depolanan veriler üzerinde tam bir araştırma yapmanız gerektiğinde, Microsoft Sentinel'deki Arama sayfasından bir tabloyu geri yükleyin. Geri yüklemek istediğiniz veriler için bir hedef tablo ve zaman aralığı belirtin. Birkaç dakika içinde günlük verileri geri yüklenir ve Log Analytics çalışma alanında kullanılabilir. Ardından, verileri tam KQL'yi destekleyen yüksek performanslı sorgularda kullanabilirsiniz.

Geri yüklenen günlük tablosu, *_RST soneki olan yeni bir tabloda kullanılabilir. Geri yüklenen veriler, temel alınan kaynak veriler kullanılabilir olduğu sürece kullanılabilir. Ancak, temel alınan kaynak verileri silmeden geri yüklenen tabloları istediğiniz zaman silebilirsiniz. Maliyetlerden tasarruf etmek için, artık ihtiyacınız kalmadığında geri yüklenen tabloyu silmenizi öneririz.

Aşağıdaki görüntüde, kaydedilmiş bir aramada geri yükleme seçeneği gösterilmektedir.

Kaydedilen aramadaki geri yükleme bağlantısının ekran görüntüsü.

Günlük geri yükleme sınırlamaları

Arşivlenmiş bir günlük tablosunu geri yüklemeye başlamadan önce aşağıdaki sınırlamalara dikkat edin:

  • En az iki gün boyunca verileri geri yükleyin.
  • 14 günden eski verileri geri yükleyin.
  • 60 TB'a kadar geri yükleyin.
  • Geri yükleme, tablo başına bir etkin geri yükleme ile sınırlıdır.
  • Çalışma alanı başına haftada en fazla dört arşivlenmiş tabloyu geri yükleyin.
  • Çalışma alanı başına iki eşzamanlı geri yükleme işiyle sınırlıdır.

Daha fazla bilgi edinmek için bkz . Azure İzleyici'de günlükleri geri yükleme.

Arama sonuçlarına veya geri yüklenen veri satırlarına yer işareti ekleme

Tehdit avcılığı panosuna benzer şekilde, ilgi çekici bulduğunuz bilgileri içeren satırları yer işaretiyle işaretleyerek bunları bir olaya ekleyebilir veya daha sonra bunlara başvurabilirsiniz. Daha fazla bilgi için bkz . Yer işaretleri oluşturma.

Sonraki adımlar