Aracılığıyla paylaş

Arşivlenmiş günlükleri aramadan geri yükleme

  • Şunlara uygulanır: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Yüksek performanslı sorgularda ve analizlerde kullanmak için arşivlenmiş bir günlükteki verileri geri yükleyin.

Önemli

Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmayan müşteriler de dahil olmak üzere Microsoft Defender portalında genel olarak kullanılabilir.

Temmuz 2026'dan itibaren Azure portalında Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilecek ve yalnızca Defender portalında Microsoft Sentinel'i kullanacaktır. Temmuz 2025'den itibaren birçok yeni müşteri otomatik olarak eklenir ve Defender portalına yönlendirilir.

Azure portalında Hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz. Taşıma Zamanı: Daha fazla güvenlik için Microsoft Sentinel'in Azure portalını kullanımdan kaldırma.

Önkoşullar

Arşivlenmiş bir günlükteki verileri geri yüklemeden önce bkz . Büyük veri kümelerinde arama yaparak araştırma başlatma (önizleme) ve Azure İzleyici'de geri yükleme.

Arşivlenmiş günlük verilerini geri yükleme

Microsoft Sentinel'de arşivlenmiş günlük verilerini geri yüklemek için geri yüklemek istediğiniz verilerin tablosunu ve zaman aralığını belirtin. Birkaç dakika içinde günlük verileri Log Analytics çalışma alanında kullanılabilir. Ardından, verileri tam Kusto Sorgu Dili (KQL) destekleyen yüksek performanslı sorgularda kullanabilirsiniz.

Arşivlenmiş verileri doğrudan Arama sayfasından veya kaydedilmiş bir aramadan geri yükleyin.

  1. Defender portalında bu sayfa Microsoft Sentinel kök düzeyindedir. Microsoft Sentinel'de Ara'yı seçin. Azure portalında, bu sayfa Genel altında listelenir.

  2. Aşağıdaki yöntemlerden birini kullanarak günlük verilerini geri yükleyin:

    • Sayfanın üst kısmındaki Geri Yükle'yi seçin. Yan taraftaki Geri Yükleme bölmesinde, geri yüklemek istediğiniz tabloyu ve zaman aralığını seçin ve ardından bölmenin alt kısmındaki Geri Yükle'yi seçin.

    • Kayıtlı aramalar'ı seçin, geri yüklemek istediğiniz arama sonuçlarını bulun ve ardından Geri Yükle'yi seçin. Birden çok tablonuz varsa, geri yüklemek istediğiniz tabloyu seçin ve ardından yan bölmede Eylemler > Geri Yükleme'yi seçin. Örneğin:

      Belirli bir site aramasını geri yükleme işleminin ekran görüntüsü.

  3. Günlük verilerinin geri yüklenmesini bekleyin. Geri Yükleme sekmesini seçerek geri yükleme işinizin durumunu görüntüleyin.

Geri yüklenen günlük verilerini görüntüleme

Geri Yükleme sekmesine giderek günlük verileri geri yüklemesinin durumunu ve sonuçlarını görüntüleyin. Geri yükleme işinin durumu Kullanılabilir Veriler'i gösterdiğinde geri yüklenen verileri görüntüleyebilirsiniz.

  1. Microsoft Sentinel'de Geri Yükleme>.

  2. Geri yükleme işiniz tamamlandığında ve durum güncelleştirildiğinde tablo adını seçin ve sonuçları gözden geçirin.

    Azure portalında sonuçlar Günlükler sorgu sayfasında gösterilir. Defender portalında sonuçlar Gelişmiş tehdit avcılığı sayfasında gösterilir.

    Örneğin:

    Geri yüklenen tablo sonuçlarını içeren günlükler sorgu bölmesini gösteren ekran görüntüsü.

    Zaman aralığı, geri yüklenen verilerin başlangıç ve bitiş saatlerini kullanan özel bir zaman aralığına ayarlanır.

Geri yüklenen veri tablolarını silme

Maliyetlerden tasarruf etmek için, artık ihtiyacınız kalmadığında geri yüklenen tabloyu silmenizi öneririz. Geri yüklenen bir tabloyu sildiğinizde, temel alınan kaynak veriler silinmez.

  1. Microsoft Sentinel'de Geri Yükleme>ve silmek istediğiniz tabloyu belirleyin.

  2. Geri yüklenen tabloyu silmek için bu tablo satırı için Sil'i seçin.

Sonraki adımlar