使用搜索作业进行搜寻
安全团队的主要活动之一是搜索特定事件的日志。 例如,可以在日志中搜索给定时间范围内特定用户的活动。
在 Microsoft Sentinel 中,可以使用搜索作业在大型数据集中长时间进行搜索。 尽管可以对任何类型的日志运行搜索作业,但搜索作业非常适合用于搜索存档日志。 如果需要对存档数据进行完整调查,可以将该数据还原到热缓存中,以运行高性能查询和分析。
搜索大型数据集
开始调查时使用搜索作业在给定时间范围内的日志中查找特定事件。 可以搜索所有日志来并查找符合条件的事件,然后筛选结果。
Microsoft Sentinel 中的搜索建立在搜索作业的基础之上。 搜索作业是提取记录的异步查询。 启动搜索作业后,结果将返回到在 Log Analytics 工作区中创建的搜索表。 搜索作业使用并行处理在大型数据集中长时间运行搜索。 因此,搜索作业不会影响工作区的性能或可用性。
搜索结果保留在带有 *_SRCH 后缀的搜索结果表中。
支持的日志类型
使用搜索在以下任何日志类型中查找事件:
- 分析日志
- 基本日志
搜索作业的限制
在开始搜索作业之前,请注意以下限制:
- 优化为一次查询一个表。
- 搜索日期范围最长为一年。
- 支持长达 24 小时超时的长时间运行搜索。
- 结果限制为记录集中的 100 万条记录。
- 并发执行限制为每个工作区五个搜索作业。
- 每个工作区限制为 100 个搜索结果表。
- 每个工作区每天只能执行 100 个搜索作业。
开始搜索
转到 Microsoft Sentinel 中的“搜索”以输入搜索条件。
在 Azure 门户中,转到 Microsoft Sentinel 并选择适当的工作区。
在“常规”下,选择“搜索(预览版)。
在“搜索”框中,输入搜索词。
选择适当的“期限”。
选择要“搜索”的表。
准备好启动搜索作业后,选择“搜索”。
搜索作业启动时,搜索页上会显示一条通知和作业状态。
等待搜索作业完成。 根据数据集和搜索条件,搜索作业可能需要几分钟或多达 24 小时才能完成。 如果搜索作业需要的时间超过 24 小时,则它会退出。如果发生这种情况,请优化搜索条件,然后重试。
查看搜索作业结果
通过进入“已保存搜索”选项卡查看搜索作业的状态和结果。
在 Microsoft Sentinel 工作区中,选择“搜索”>“已保存搜索”。
在搜索卡上,选择“查看搜索结果”。
默认情况下,会看到与原始搜索条件匹配的所有结果。 在搜索查询中,请注意引用的时间列。
- TimeGenerated 是将数据引入搜索表的日期和时间。
- _OriginalTimeGenerated 是创建记录的日期和时间。
若要优化从搜索表返回的结果列表,请编辑 KQL 查询。
查看搜索作业结果时,请为包含你感兴趣的信息的行添加书签,以便将它们附加到事件或稍后引用它们。