此浏览器不再受支持。
请升级到 Microsoft Edge 以使用最新的功能、安全更新和技术支持。
在 Microsoft Sentinel 中,可以使用搜索作业在大型数据集中长时间进行搜索。 还可以选择还原存档的日志以包括在搜索作业中。
你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 你发现了一个新的威胁指示器,需要调查是否以前在日志中看到过 IoC。 你需要还原存档日志并运行搜索作业来发现 IoC 以前的实例。
完成此模块后,你将能够:
具备操作概念(如 KQL、日志记录和存档)的基础知识
继续
此页面是否有帮助?