Büyük veri kümelerinde uzun zaman aralıklarında arama
Yedi yıl öncesine kadar günlüklerde belirli olayları bulmak için bir araştırma başlattığınızda bir arama işi kullanın. Analiz, Temel ve Arşivlenmiş günlük planlarındaki olaylar da dahil olmak üzere tüm günlüklerinizdeki olayları arayabilirsiniz. Ölçütlerinizle eşleşen olayları filtreleyin ve arayın.
Arama işi kavramları ve sınırlamaları hakkında daha fazla bilgi için bkz . Büyük veri kümelerinde arama yaparak araştırma başlatma ve Azure İzleyici'de işleri arama.
Belirli veri kümelerindeki arama işleri ek ücrete tabi olabilir. Daha fazla bilgi için bkz . Microsoft Sentinel fiyatlandırma sayfası.
Önemli
Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Arama işi başlatma
Arama ölçütlerinizi girmek için Azure portalından veya Microsoft Defender portalından Microsoft Sentinel'de Ara'ya gidin. Hedef veri kümesinin boyutuna bağlı olarak arama süreleri farklılık gösterir. Çoğu arama işinin tamamlanması birkaç dakika sürerken, 24 saate kadar olan çok büyük veri kümelerine yönelik aramalar da desteklenir.
Azure portalında Microsoft Sentinel için Genel'in altında Ara'yı seçin.
Defender portalında Microsoft Sentinel için Microsoft Sentinel>Araması'nı seçin.Tablo menüsünü seçin ve aramanız için bir tablo seçin.
Arama kutusuna bir arama terimi girin.
Başlangıç'ı seçerek gelişmiş Kusto Sorgu Dili (KQL) düzenleyicisini açın ve belirli bir zaman aralığı için sonuçların önizlemesini görüntüleyin.
Arama sonuçlarının güncelleştirilmiş önizlemesini almak için KQL sorgusunu gerektiği gibi değiştirin ve Çalıştır'ı seçin.
Sorgudan ve arama sonuçları önizlemeden memnun olduğunuzda üç noktayı seçin ... ve Arama işi modunu açın.
Uygun Zaman aralığını seçin.
Düzenleyicide dalgalı kırmızı çizgiyle gösterilen KQL sorunlarını çözün.
Arama işini başlatmaya hazır olduğunuzda İşi ara'yı seçin.
Arama işi sonuçlarını depolamak için yeni bir tablo adı girin.
Arama işi çalıştır'ı seçin.
Sonuçları görüntülemek için Arama işinin tamamlanmasını bekleyin.
Arama işi sonuçlarını görüntüleme
Kayıtlı Aramalar sekmesine giderek arama işinizin durumunu ve sonuçlarını görüntüleyin.
Microsoft Sentinel'de Kayıtlı Aramaları Ara'yı>seçin.
Arama kartında Arama sonuçlarını görüntüle'yi seçin.
Varsayılan olarak, özgün arama ölçütlerinizle eşleşen tüm sonuçları görürsünüz.
Arama tablosundan döndürülen sonuçların listesini daraltmak için Filtre ekle'yi seçin.
Arama işi sonuçlarınızı gözden geçirirken Yer işareti ekle'yi seçin veya bir satırı korumak için yer işareti simgesini seçin. Yer işareti eklemek, olayları etiketlemenize, not eklemenize ve bu olayları daha sonra başvurmak üzere bir olaya eklemenize olanak tanır.
Sütunlar düğmesini seçin ve sonuç görünümüne eklemek istediğiniz sütunların yanındaki onay kutusunu seçin.
Yalnızca korunan girişleri göstermek için Yer İşaretli filtresini ekleyin.
Mevcut bir olaya yer işareti ekleyebileceğiniz Tehdit Avcılığı sayfasına gitmek için Tüm yer işaretlerini görüntüle'yi seçin.
Sonraki adımlar
Daha fazla bilgi edinmek için aşağıdaki makalelere bakın.