分享方式:


在大型資料集中進行較長時間範圍的搜尋

請在開始調查時使用搜尋作業,以在最多七年內的記錄中尋找特定事件。 您可以在所有記錄中搜尋事件,包括分析、基本和封存記錄方案中的事件。 篩選並尋找符合您準則的事件。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

開始搜尋作業

從 Azure 入口網站或 Microsoft Defender 入口網站,移至 Microsoft Sentinel 中的 [搜尋],以輸入您的搜尋準則。 搜尋時間會因目標資料集的大小而有所不同。 雖然大部分的搜尋作業只要幾分鐘的時間就能完成,但也支援在大型資料集中進行長達 24 小時的搜尋。

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,在 [一般] 下,選取 [搜尋]
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[搜尋]

  2. 選取 [資料表] 功能表,然後選擇您搜尋的資料表。

  3. 在 [搜尋] 方塊中,輸入搜尋字詞。

  4. 選取 [開始],以開啟進階 Kusto 查詢語言 (KQL) 編輯器,並預覽設定時間範圍的結果。

  5. 視需要變更 KQL 查詢,然後選取 [執行],以取得搜尋結果的更新預覽。

    已修訂搜尋的 KQL 編輯器的螢幕擷取畫面。

  6. 當您滿意查詢和搜尋結果預覽時,請選取省略號 [...] 並將 [搜尋作業模式] 切換為 [開啟]。

    螢幕擷取畫面:已修訂搜尋並醒目提示 [搜尋作業模式] 省略符號的 KQL 編輯器。

  7. 選取適當的時間範圍

  8. 解決編輯器中以紅色曲線指出的任何 KQL 問題。

  9. 當您準備好開始搜尋作業時,請選取 [搜尋作業]

  10. 輸入新的資料表名稱來儲存搜尋作業結果。

  11. 選取 [執行搜尋作業]

  12. 等候 [搜尋作業完成] 通知,以檢視結果。

檢視搜尋作業結果

移至 [儲存的搜尋] 索引標籤,以檢視搜尋作業的狀態和結果。

  1. 在 Microsoft Sentinel 中,選取 [搜尋]>[儲存的搜尋]

  2. 在搜尋卡片上,選取 [檢視搜尋結果]

    顯示搜尋作業卡底部的檢視搜尋結果連結的螢幕擷取畫面。

    根據預設,您會看到符合原始搜尋準則的所有結果。

  3. 若要精簡搜尋資料表傳回的結果清單,請選取 [新增篩選]

  4. 當您檢閱搜尋作業結果時,請選取 [新增書籤] 或選取書籤圖示以保留資料列。 新增書籤可讓您標記事件、新增備註,並將這些事件 (event) 附加至事件 (incident) 供日後參考。

    顯示搜尋作業結果以及正在新增書籤程序的螢幕擷取畫面。

  5. 選取 [資料行] 按鈕,然後選取您想要新增至結果檢視之資料行旁的核取方塊。

  6. 新增「已加入書籤」的篩選,只顯示保留的項目。

  7. 選取 [檢視所有書籤] 以移至 [搜捕] 頁面,以便將書籤新增至現有事件。

下一步

如需詳細資訊,請參閱下列文章。