Büyük veri kümelerinde uzun zaman aralıklarında arama

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Yedi yıl öncesine kadar günlüklerde belirli olayları bulmak için bir araştırma başlattığınızda bir arama işi kullanın. Analiz, Temel ve Arşivlenmiş günlük planlarındaki olaylar da dahil olmak üzere tüm günlüklerinizdeki olayları arayabilirsiniz. Ölçütlerinizle eşleşen olayları filtreleyin ve arayın.

• Arama işi kavramları ve sınırlamaları hakkında daha fazla bilgi için bkz . Büyük veri kümelerinde arama yaparak araştırma başlatma ve Azure İzleyici'de işleri arama.

• Belirli veri kümelerindeki arama işleri ek ücrete tabi olabilir. Daha fazla bilgi için bkz . Microsoft Sentinel fiyatlandırma sayfası.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Arama işi başlatma

Arama ölçütlerinizi girmek için Azure portalından veya Microsoft Defender portalından Microsoft Sentinel'de Ara'ya gidin. Hedef veri kümesinin boyutuna bağlı olarak arama süreleri farklılık gösterir. Çoğu arama işinin tamamlanması birkaç dakika sürerken, 24 saate kadar olan çok büyük veri kümelerine yönelik aramalar da desteklenir.

1. Azure portalında Microsoft Sentinel için Genel'in altında Ara'yı seçin.
   Defender portalında Microsoft Sentinel için Microsoft Sentinel>Araması'nı seçin.

2. Tablo menüsünü seçin ve aramanız için bir tablo seçin.

3. Arama kutusuna bir arama terimi girin.

   Azure portalı

   

   Defender portalı

   

4. Başlangıç'ı seçerek gelişmiş Kusto Sorgu Dili (KQL) düzenleyicisini açın ve belirli bir zaman aralığı için sonuçların önizlemesini görüntüleyin.

5. Arama sonuçlarının güncelleştirilmiş önizlemesini almak için KQL sorgusunu gerektiği gibi değiştirin ve Çalıştır'ı seçin.

   

6. Sorgudan ve arama sonuçları önizlemeden memnun olduğunuzda üç noktayı seçin ... ve Arama işi modunu açın.

   

7. Uygun Zaman aralığını seçin.

8. Düzenleyicide dalgalı kırmızı çizgiyle gösterilen KQL sorunlarını çözün.

9. Arama işini başlatmaya hazır olduğunuzda İşi ara'yı seçin.

10. Arama işi sonuçlarını depolamak için yeni bir tablo adı girin.

11. Arama işi çalıştır'ı seçin.

12. Sonuçları görüntülemek için Arama işinin tamamlanmasını bekleyin.

Arama işi sonuçlarını görüntüleme

Kayıtlı Aramalar sekmesine giderek arama işinizin durumunu ve sonuçlarını görüntüleyin.

1. Microsoft Sentinel'de Kayıtlı Aramaları Ara'yı>seçin.

2. Arama kartında Arama sonuçlarını görüntüle'yi seçin.

   

   Varsayılan olarak, özgün arama ölçütlerinizle eşleşen tüm sonuçları görürsünüz.

3. Arama tablosundan döndürülen sonuçların listesini daraltmak için Filtre ekle'yi seçin.

4. Arama işi sonuçlarınızı gözden geçirirken Yer işareti ekle'yi seçin veya bir satırı korumak için yer işareti simgesini seçin. Yer işareti eklemek, olayları etiketlemenize, not eklemenize ve bu olayları daha sonra başvurmak üzere bir olaya eklemenize olanak tanır.

   

5. Sütunlar düğmesini seçin ve sonuç görünümüne eklemek istediğiniz sütunların yanındaki onay kutusunu seçin.

6. Yalnızca korunan girişleri göstermek için Yer İşaretli filtresini ekleyin.

7. Mevcut bir olaya yer işareti ekleyebileceğiniz Tehdit Avcılığı sayfasına gitmek için Tüm yer işaretlerini görüntüle'yi seçin.

Sonraki adımlar

Daha fazla bilgi edinmek için aşağıdaki makalelere bakın.

• Yer işaretleriyle avla
• Arşivlenmiş günlükleri geri yükleme
• Azure İzleyici Günlüklerinde veri saklama ve arşiv ilkelerini yapılandırma (Önizleme)