搜尋大型資料集中的事件以開始調查
安全性小組的主要活動之一是搜尋特定事件的記錄。 例如,您可能會在指定時間範圍內搜尋特定使用者的活動記錄。
在 Microsoft Sentinel 中,您可以使用搜尋作業,在極大的資料集中進行長時段的搜尋。 雖然您可以在任何類型的記錄上執行搜尋作業,但搜尋作業最適合用來搜尋長期保留 (先前稱為封存) 狀態的記錄。 如果您需要對這類資料進行完整調查,可將該資料還原成互動式保留狀態,例如您的一般 Log Analytics 資料表,以執行高效能的查詢和更深入的分析。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
搜尋大型資料集
若要開始在指定時間範圍內尋找特定事件記錄的調查,請使用搜尋作業。 您可以搜尋所有記錄,以尋找符合準則的事件並篩選結果。
[Search in Microsoft Sentinel] (Microsoft Sentinel 搜尋功能) 建置於搜尋作業之上。 搜尋作業是擷取記錄的非同步查詢。 結果會傳回至在您開始搜尋作業後建立於 Log Analytics 工作區中的搜尋資料表。 搜尋作業會使用平行處理,在極為大型的資料集內執行較長時間跨度的搜尋。 因此,搜尋作業不會影響工作區的效能或可用性。
搜尋結果會儲存在名稱尾碼為 _SRCH 的資料表中。
下圖顯示搜尋作業的範例搜尋準則。
支援的記錄類型
使用搜尋在下列任何記錄類型中尋找事件:
您也可以搜尋儲存在長期保留中的分析記錄或基本記錄資料。
搜尋作業的限制
開始搜尋作業之前,請注意下列限制:
- 最好一次只查詢一個資料表。
- 搜尋日期範圍最多為七年。
- 支援長時間執行的搜尋,逾時上限為 24 小時。
- 結果僅限於記錄集中的一百萬筆記錄。
- 每個工作區的每位使用者同時執行限制為五個搜尋作業。
- 每個工作區的搜尋結果資料表上限為 100 個。
- 每個工作區每天只能執行 100 個搜尋作業。
下列工作區目前不支援搜尋工作:
- 已啟用客戶自控金鑰的工作區
- 中國東部 2 區域中的工作區
若要深入了解,請參閱 Azure 監視器文件中的 Azure 監視器中的搜尋作業。
從封存的記錄還原歷史資料
當您需要全面調查儲存在封存記錄中的資料時,請從 Microsoft Sentinel 的 [搜尋] 頁面中還原資料表。 指定您要還原之資料的目標資料表和時間範圍。 在幾分鐘內,記錄資料會還原並在 Log Analytics 工作區內取得。 然後,您可以在支援完整 KQL 的高效能查詢中使用資料。
還原的記錄資料表可在具有 *_RST 尾碼的新資料表中使用。 只要基礎來源資料可用,即可使用還原的資料。 但是您可以隨時刪除還原的資料表,而無需刪除基礎來源資料。 若要節省成本,建議您在不再需要時刪除還原的資料表。
下圖顯示已儲存搜尋的還原選項。
![螢幕擷取畫面:已儲存的搜尋上的 [還原] 連結。](media/investigate-large-datasets/search-results-restore.png)
記錄還原的限制
開始還原封存的記錄資料表之前,請注意下列限制:
- 還原至少兩天的資料。
- 還原超過 14 天的資料。
- 最多還原 60 TB。
- 每個資料表的還原限制為一個作用中還原。
- 每週最多還原四個封存資料表。
- 每個工作區只能有兩個並行還原作業。
若要深入了解,請參閱還原 Azure 監視器中的記錄。
書籤搜尋結果或還原的資料列
類似於威脅搜捕儀表板,資料列若包含您感興趣的資訊,請將該資料列加入書籤,以便將其附加至事件,或後續加以參考。 如需詳細資訊,請參閱建立書籤。