Restauración de registros archivados desde la búsqueda

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Restaure los datos de un registro archivado para usarlos en consultas y análisis de alto rendimiento.

Antes de restaurar los datos en un registro archivado, consulte Iniciar una investigación mediante la búsqueda de grandes conjuntos de datos (versión preliminar) y Restauración en Azure Monitor.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Restauración de datos de registro archivados

Para restaurar los datos de registro archivados en Microsoft Sentinel, especifique la tabla y el intervalo de tiempo de los datos que desea restaurar. En unos minutos, los datos de registro están disponibles en el área de trabajo de Log Analytics. A continuación, puede usar los datos en consultas de alto rendimiento que admiten el lenguaje de consulta Kusto (KQL) completo.

Puede restaurar los datos archivados directamente desde la página Buscar o desde una búsqueda guardada.

  1. Para Microsoft Sentinel en Azure Portal, en General, seleccione Buscar.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Buscar.

  2. Restaure los datos de registro de una de estas dos maneras:

    • En la parte superior de la página Buscar, seleccione Restaurar. Captura de pantalla del botón de restauración en la parte superior de la página de búsqueda.
    • Seleccione la pestaña Búsquedas guardadas y Restaurar en la búsqueda adecuada. Captura de pantalla del vínculo de restauración en una búsqueda guardada.

  3. Seleccione la tabla que quiere restaurar.

  4. Seleccione el intervalo de tiempo de los datos que quiere restaurar.

  5. Seleccione Restaurar.

    Captura de pantalla de la página de restauración con la tabla y el intervalo de tiempo seleccionados.

  6. Espere a que se restauren los datos de registro. Para ver el estado del trabajo de restauración, seleccione la pestaña Restauración.

Visualización de los datos de registro restaurados

Para ver el estado y los resultados de la restauración de datos de registro, vaya a la pestaña Restauración. Puede ver los datos restaurados cuando el estado del trabajo de restauración muestre Datos disponibles.

  1. En Microsoft Sentinel, seleccione Búsqueda>Restauración.

    Captura de pantalla de la pestaña de restauración en la página de búsqueda.

  2. Una vez completado el trabajo de restauración, seleccione el nombre de la tabla.

    Captura de pantalla de las filas con los trabajos de restauración completados y una tabla seleccionada.

  3. Consulte los resultados.

    Captura de pantalla del panel de consulta de los registros con los resultados de la tabla restaurada.

    El panel de consulta Registros muestra el nombre de la tabla que contiene los datos restaurados. El intervalo de tiempo se establece en un intervalo de tiempo personalizado que usa las horas de inicio y finalización de los datos restaurados.

Eliminación de tablas de datos restauradas

Para ahorrar costos, se recomienda eliminar la tabla restaurada cuando ya no la necesite. Al eliminar una tabla restaurada, Azure no elimina los datos de origen subyacentes.

  1. En Microsoft Sentinel, seleccione Búsqueda>Restauración.

  2. Identifique la tabla que quiere eliminar.

  3. Seleccione Eliminar para esa fila de tabla.

    Captura de pantalla de la pestaña de restauración con el botón Eliminar en cada fila.

Pasos siguientes