Поиск в течение длительного периода времени в больших наборах данных
Используйте задание поиска при запуске исследования, чтобы найти определенные события в журналах до семи лет назад. Вы можете выполнять поиск событий во всех журналах, включая события в аналитике, базовых и архивных планах журналов. Отфильтруйте и найдите события, соответствующие вашим критериям.
Дополнительные сведения о концепциях и ограничениях задания поиска см. в статье "Запуск исследования" путем поиска больших наборов данных и заданий поиска в Azure Monitor.
Поиск заданий в определенных наборах данных может взиматься дополнительная плата. Дополнительные сведения см. на странице цен Microsoft Sentinel.
Внимание
Microsoft Sentinel доступен в составе единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Запуск задания поиска
Перейдите к поиску в Microsoft Sentinel с портал Azure или на портале Microsoft Defender, чтобы ввести условия поиска. В зависимости от размера целевого набора данных время поиска зависит от времени поиска. Хотя большинство заданий поиска занимает несколько минут, поиск по большим наборам данных, которые выполняются до 24 часов, также поддерживаются.
Для Microsoft Sentinel в портал Azure в разделе "Общие" выберите "Поиск".
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Search.Выберите меню "Таблица" и выберите таблицу для поиска.
В поле поиска введите условие поиска.
Выберите "Пуск", чтобы открыть расширенный редактор язык запросов Kusto (KQL) и предварительный просмотр результатов для заданного диапазона времени.
Измените запрос KQL по мере необходимости и нажмите кнопку "Выполнить ", чтобы получить обновленную предварительную версию результатов поиска.
Если вы удовлетворены запросом и предварительным просмотром результатов поиска, выберите многоточие ... и переключите режим задания поиска.
Выберите нужный интервал времени.
Устраните все проблемы KQL, указанные красной линией в редакторе.
Когда вы будете готовы начать задание поиска, выберите задание поиска.
Введите новое имя таблицы для хранения результатов задания поиска.
Выберите "Запустить задание поиска".
Дождитесь завершения задания поиска уведомлений, чтобы просмотреть результаты.
Просмотр результатов задания поиска
Просмотрите состояние и результаты задания поиска на вкладке Сохраненные поисковые запросы.
В Microsoft Sentinel выберите "Поиск>сохраненных поисков".
На карточке поиска выберите Просмотреть результаты поиска.
По умолчанию отображаются все результаты, соответствующие исходным условиям поиска.
Чтобы уточнить список результатов, возвращаемых из таблицы поиска, нажмите кнопку "Добавить фильтр".
При просмотре результатов задания поиска нажмите кнопку "Добавить закладку" или щелкните значок закладки, чтобы сохранить строку. Добавление закладки позволяет добавлять события, добавлять заметки и присоединять эти события к инциденту для последующей ссылки.
Нажмите кнопку "Столбцы" и выберите поле проверка рядом с столбцами, которые вы хотите добавить в представление результатов.
Добавьте фильтр закладки, чтобы отобразить только сохраненные записи.
Выберите "Просмотреть все закладки" , чтобы перейти на страницу "Охота ", где можно добавить закладку в существующий инцидент.
Следующие шаги
Дополнительные сведения см. в следующих статьях.