從搜尋中還原已封存的記錄

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

從封存的記錄還原資料，以用於高效能的查詢和分析。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

必要條件

在封存記錄中還原資料之前，請參閱搜尋大型資料集以開始調查 (預覽版) 和在 Azure 監視器中還原。

還原封存的記錄資料

若要在 Microsoft Sentinel 中還原封存的記錄資料，請指定您要還原之資料的資料表和時間範圍。 在幾分鐘內，Log Analytics 工作區內就會提供記錄資料。 然後，您就可以在支援完整 Kusto 查詢語言 (KQL) 的高效能查詢中使用該資料。

直接從 [搜尋] 頁面或儲存的搜尋來還原封存的資料。

1. 在 Microsoft Sentinel 中，選取 [搜尋]。 在 [Azure 入口網站] 中，此頁面列在 [一般] 下。 在 [Defender 入口網站] 中，此頁面位於 Microsoft Sentinel 根層級。

2. 使用下列其中一種方法還原記錄資料：

   • 選取頁面頂端的 [還原]。 在側邊的 [還原] 窗格中，選取要還原的資料表和時間範圍，然後選取 [窗格底端的 [還原]]。

   • 選取 [儲存的搜尋]，尋找要還原的搜尋結果，然後選取 [還原]。 如果有多個資料表，請選取要還原的資料表，然後在側邊窗格中選取 [動作>還原]。 例如：

     

3. 等候記錄資料還原。 選取 [還原] 索引標籤，以檢視還原作業的狀態。

檢視已還原的記錄資料

移至 [還原] 索引卷標，以檢視記錄資料還原的狀態和結果。當還原作業的狀態顯示 [可用資料]時，您可以檢視還原的資料。

1. 在 Microsoft Sentinel 中，選取 [搜尋]>[儲存]。

2. 還原工作完成且狀態更新後，選取資料表名稱並檢閲結果。

   在 [Azure 入口網站] 中，結果顯示在 [記錄] 査詢頁面中。 在 [Defender 入口網站] 中，結果顯示在 [進階搜捕] 頁面中。

   例如：

   

   [時間範圍] 會設定為使用還原資料的開始和結束時間的自訂時間範圍。

刪除已還原的資料表

若要節省成本，建議您在不再需要時刪除還原的資料表。 當您删除還原的資料表時，不會删除基礎來源資料。

1. 在 Microsoft Sentinel 中，選取 [搜尋]>[復原] 並確定要删除的資料表。

2. 為該資料表列選取 [删除] 以删除已還原的資料表。

下一步

• 使用書籤來搜尋