從搜尋還原封存的記錄
從封存的記錄還原數據,以用於高效能的查詢和分析。
在還原封存記錄中的數據之前,請參閱在 Azure 監視器中搜尋大型數據集(預覽)和還原來啟動調查。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
還原封存的記錄資料
若要在 Microsoft Sentinel 中還原封存的記錄資料,請指定您要還原之資料的資料表和時間範圍。 在幾分鐘內,Log Analytics 工作區內就會提供記錄資料。 然後,您可以在支援完整 Kusto 查詢語言 (KQL) 的高效能查詢中使用數據。
您可以直接從 [ 搜尋 ] 頁面或儲存的搜尋還原封存的數據。
針對 Azure 入口網站 中的 Microsoft Sentinel,請在 [一般] 底下選取 [搜尋]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>搜尋]。以下列兩種方式之一還原記錄資料:
- 在 [搜尋] 頁面頂端,選取 [還原]。
- 選取 [ 已儲存的搜尋 ] 索引標籤,並在 適當的搜尋中還原 。
選取您要還原的資料表。
選取您要還原之資料的時間範圍。
選取還原。
等候記錄資料還原。 選取 [還原] 索引標籤,以檢視還原作業的狀態。
檢視已還原的記錄資料
移至 [還原] 索引標籤,以檢視記錄數據還原的狀態和結果。當還原作業的狀態顯示 [數據可用] 時,您可以檢視還原的數據。
在 Microsoft Sentinel 中,選取 [搜尋>還原]。
當您的還原作業完成時,請選取資料表名稱。
檢閱結果。
[記錄] 查詢窗格會顯示包含已還原資料的資料表名稱。 時間 範圍 會設定為使用還原數據的開始和結束時間的自定義時間範圍。
刪除已還原的資料表
若要節省成本,建議您在不再需要時刪除還原的資料表。 當您刪除已還原的資料表時,Azure 不會刪除基礎來源資料。
在 Microsoft Sentinel 中,選取 [搜尋>還原]。
識別您要刪除的資料表。
選取該資料表資料列的 [ 刪除 ]。