Aracılığıyla paylaş

Arşivlenmiş günlükleri aramadan geri yükleme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Yüksek performanslı sorgularda ve analizlerde kullanmak için arşivlenmiş bir günlükteki verileri geri yükleyin.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

Arşivlenmiş bir günlükteki verileri geri yüklemeden önce bkz . Büyük veri kümelerinde arama yaparak araştırma başlatma (önizleme) ve Azure İzleyici'de geri yükleme.

Arşivlenmiş günlük verilerini geri yükleme

Microsoft Sentinel'de arşivlenmiş günlük verilerini geri yüklemek için geri yüklemek istediğiniz verilerin tablosunu ve zaman aralığını belirtin. Birkaç dakika içinde günlük verileri Log Analytics çalışma alanında kullanılabilir. Ardından, verileri tam Kusto Sorgu Dili (KQL) destekleyen yüksek performanslı sorgularda kullanabilirsiniz.

Arşivlenmiş verileri doğrudan Arama sayfasından veya kaydedilmiş bir aramadan geri yükleyin.

  1. Microsoft Sentinel'de Ara'yı seçin. Azure portalında, bu sayfa Genel altında listelenir. Defender portalında bu sayfa Microsoft Sentinel kök düzeyindedir.

  2. Aşağıdaki yöntemlerden birini kullanarak günlük verilerini geri yükleyin:

    • Sayfanın üst kısmındaki Geri Yükle'yi seçin. Yan taraftaki Geri Yükleme bölmesinde, geri yüklemek istediğiniz tabloyu ve zaman aralığını seçin ve ardından bölmenin alt kısmındaki Geri Yükle'yi seçin.

    • Kayıtlı aramalar'ı seçin, geri yüklemek istediğiniz arama sonuçlarını bulun ve ardından Geri Yükle'yi seçin. Birden çok tablonuz varsa, geri yüklemek istediğiniz tabloyu seçin ve ardından yan bölmede Eylemler > Geri Yükleme'yi seçin. Örneğin:

      Belirli bir site aramasını geri yükleme işleminin ekran görüntüsü.

  3. Günlük verilerinin geri yüklenmesini bekleyin. Geri Yükleme sekmesini seçerek geri yükleme işinizin durumunu görüntüleyin.

Geri yüklenen günlük verilerini görüntüleme

Geri Yükleme sekmesine giderek günlük verileri geri yüklemesinin durumunu ve sonuçlarını görüntüleyin. Geri yükleme işinin durumu Kullanılabilir Veriler'i gösterdiğinde geri yüklenen verileri görüntüleyebilirsiniz.

  1. Microsoft Sentinel'de Geri Yükleme Ara'yı>seçin.

  2. Geri yükleme işiniz tamamlandığında ve durum güncelleştirildiğinde tablo adını seçin ve sonuçları gözden geçirin.

    Azure portalında sonuçlar Günlükler sorgu sayfasında gösterilir. Defender portalında sonuçlar Gelişmiş tehdit avcılığı sayfasında gösterilir.

    Örneğin:

    Geri yüklenen tablo sonuçlarını içeren günlükler sorgu bölmesini gösteren ekran görüntüsü.

    Zaman aralığı, geri yüklenen verilerin başlangıç ve bitiş saatlerini kullanan özel bir zaman aralığına ayarlanır.

Geri yüklenen veri tablolarını silme

Maliyetlerden tasarruf etmek için, artık ihtiyacınız kalmadığında geri yüklenen tabloyu silmenizi öneririz. Geri yüklenen bir tabloyu sildiğinizde, temel alınan kaynak veriler silinmez.

  1. Microsoft Sentinel'de Geri Yükleme Ara'yı>seçin ve silmek istediğiniz tabloyu belirleyin.

  2. Geri yüklenen tabloyu silmek için bu tablo satırı için Sil'i seçin.

Sonraki adımlar