在 Microsoft sentinel 中搜尋跨大型數據集的特定事件

適用於: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

如果 10 分鐘的日誌查詢逾時不足以完成作業，請使用搜尋來擷取儲存在長期保存中的資料，或遍歷大量資料。搜尋工作會掃描表格中長達一年的資料，以取得特定事件。搜尋作業會將結果傳送至與源數據相同工作區中的新 Analytics 數據表。

本文說明如何在 Microsoft Sentinel 中執行搜尋工作，以及如何處理搜尋工作結果。

在特定資料集中搜尋作業可能會產生額外費用。如需詳細資訊，請參閱 Microsoft Sentinel 定價頁面。

重要事項

自 2027 年 3 月 31 日起，Microsoft Sentinel 將不再支援 Azure 入口網站，僅能在 Microsoft Defender 入口網站中提供。所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶，都會被重新導向到 Defender 入口網站，並且只會在 Defender 入口網站使用 Microsoft Sentinel。

如果您仍在 Azure 入口網站中使用 Microsoft Sentinel，建議您開始規劃轉換至 Defender 入口網站，以確保順利轉換，並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。

請參閱 Azure Monitor 文件中的搜尋工作考量。

開始搜尋作業

從 Azure 入口網站或 Microsoft Defender 入口網站，移至 Microsoft Sentinel 中的 [搜尋]，以輸入您的搜尋準則。搜尋時間會因目標資料集的大小而有所不同。雖然大部分的搜尋作業只要幾分鐘的時間就能完成，但也支援在大型資料集中進行長達 24 小時的搜尋。

針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel]>[搜尋]。針對 Azure 入口網站中的 Microsoft Sentinel，在 [一般] 下，選取 [搜尋]。
選取 [資料表] 功能表，然後選擇您搜尋的資料表。
在 [搜尋] 方塊中，輸入搜尋字詞。
- Defender 入口網站
- Azure 入口網站
選取開始以在 簡單模式中預覽設定時間範圍內的結果。如有需要，請移至下拉式功能表，然後從 簡單模式 切換至 KQL 模式 ，以開啟進階 Kusto 查詢語言（KQL）編輯器。
視需要變更 KQL 查詢，然後選取 [執行]，以取得搜尋結果的更新預覽。解決編輯器中以紅色曲線指出的任何 KQL 問題。
當您對查詢和搜尋結果預覽感到滿意時，請選取省略符號 ... ，然後選取 [ 搜尋作業 ] 以開啟 [ 搜尋作業模式 ] 視窗。
使用 時間範圍 選取器指定搜尋作業日期範圍。如果您的查詢也指定時間範圍，Microsoft Sentinel 會在時間範圍的聯集上執行搜尋作業。
輸入新的資料表名稱來儲存搜尋作業結果。
選取 [執行搜尋作業]。
等待通知 搜尋工作完成 ，然後選取按鈕以移至表格並檢視結果。

移至 [儲存的搜尋] 索引標籤，以檢視搜尋作業的狀態和結果。

在 Microsoft Sentinel 中，選取 [搜尋]>[儲存的搜尋]。
在搜尋卡片上，選取 [檢視搜尋結果]。

根據預設，您會看到符合原始搜尋條件的全部結果。
若要精簡搜尋資料表傳回的結果清單，請選取 [新增篩選]。
當您檢閱搜尋作業結果時，請選取 [新增書籤] 或選取書籤圖示以保留資料列。新增書籤可讓您標記事件、新增備註，並將這些事件 (event) 附加至事件 (incident) 供日後參考。
選取 [資料行] 按鈕，然後選取您想要新增至結果檢視之資料行旁的核取方塊。
新增「已加入書籤」的篩選，只顯示保留的項目。
選取 [檢視所有書籤] 以移至 [搜捕] 頁面，以便將書籤新增至現有事件。

如需詳細資訊，請參閱下列文章。

此頁面對您有幫助嗎？