Starta en undersökning genom att söka efter händelser i stora datamängder

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En av de primära aktiviteterna i ett säkerhetsteam är att söka efter specifika händelser i loggarna. Du kan till exempel söka i loggar efter aktiviteter för en viss användare inom en viss tidsram.

I Microsoft Sentinel kan du söka över långa tidsperioder i extremt stora datamängder med hjälp av ett sökjobb. Du kan köra ett sökjobb på alla typer av loggar, men sökjobb passar utmärkt för att söka i arkiverade loggar. Om du behöver göra en fullständig undersökning av arkiverade data kan du återställa dessa data till den frekventa cachen för att köra högpresterande frågor och djupare analys.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Söka i stora datamängder

Använd ett sökjobb när du startar en undersökning för att hitta specifika händelser i loggar inom en viss tidsram. Du kan söka i alla loggar för att hitta händelser som matchar dina kriterier och filtrera igenom resultaten.

Sökning i Microsoft Sentinel bygger på sökjobb. Sökjobb är asynkrona frågor som hämtar poster. Resultaten returneras till en söktabell som skapas på Log Analytics-arbetsytan när du har startat sökjobbet. Sökjobbet använder parallell bearbetning för att köra sökningen över långa tidsperioder, i extremt stora datamängder. Så sökjobb påverkar inte arbetsytans prestanda eller tillgänglighet.

Sökresultat lagras i en tabell som har ett *_SRCH suffix.

Följande bild visar exempel på sökvillkor för ett sökjobb.

Skärmbild av söksidan med sökvillkor för administratör, tidsintervall senaste 1 året och en vald tabell.

Loggtyper som stöds

Använd sökfunktionen för att hitta händelser i någon av följande loggtyper:

Du kan också söka efter analysdata eller grundläggande loggdata som lagras i arkiverade loggar.

Begränsningar för ett sökjobb

Innan du startar ett sökjobb bör du vara medveten om följande begränsningar:

  • Optimerad för att köra frågor mot en tabell i taget.
  • Sökdatumintervallet är upp till sju år.
  • Stöder tidskrävande sökningar upp till en tidsgräns på 24 timmar.
  • Resultaten är begränsade till en miljon poster i postuppsättningen.
  • Samtidig körning är begränsad till fem sökjobb per arbetsyta.
  • Begränsat till 100 sökresultattabeller per arbetsyta.
  • Begränsat till 100 körningar av sökjobb per dag per arbetsyta.

Sökjobb stöds för närvarande inte för följande arbetsytor:

  • Kundhanterade nyckelaktiverade arbetsytor
  • Arbetsytor i regionen Kina, östra 2

Mer information finns i Sökjobb i Azure Monitor i Azure Monitor-dokumentationen.

Återställa historiska data från arkiverade loggar

När du behöver göra en fullständig undersökning av data som lagras i arkiverade loggar återställer du en tabell från söksidan i Microsoft Sentinel. Ange en måltabell och ett tidsintervall för de data som du vill återställa. Inom några minuter återställs loggdata och är tillgängliga på Log Analytics-arbetsytan. Sedan kan du använda data i högpresterande frågor som stöder fullständig KQL.

En återställd loggtabell är tillgänglig i en ny tabell som har ett *_RST suffix. Återställde data är tillgängliga så länge som underliggande källdata är tillgängliga. Men du kan ta bort återställde tabeller när som helst utan att ta bort underliggande källdata. För att spara kostnader rekommenderar vi att du tar bort den återställde tabellen när du inte längre behöver den.

Följande bild visar återställningsalternativet för en sparad sökning.

Skärmbild av återställningslänken i en sparad sökning.

Begränsningar för loggåterställning

Innan du börjar återställa en arkiverad loggtabell bör du vara medveten om följande begränsningar:

  • Återställ data i minst två dagar.
  • Återställ data som är mer än 14 dagar gamla.
  • Återställ upp till 60 TB.
  • Återställningen är begränsad till en aktiv återställning per tabell.
  • Återställ upp till fyra arkiverade tabeller per arbetsyta och vecka.
  • Begränsat till två samtidiga återställningsjobb per arbetsyta.

Mer information finns i Återställa loggar i Azure Monitor.

Bokmärkessökresultat eller återställde datarader

På samma sätt som instrumentpanelen för hotjakt bokmärkesrader som innehåller information som du tycker är intressant så att du kan koppla dem till en incident eller referera till dem senare. Mer information finns i Skapa bokmärken.

Nästa steg