在大型數據集中跨長時間搜尋
當您開始調查時,請使用搜尋工作,在最多七年前的記錄中尋找特定事件。 您可以搜尋所有記錄的事件,包括 Analytics、Basic 和 Archived 記錄計畫中的事件。 篩選並尋找符合準則的事件。
如需搜尋作業概念和限制的詳細資訊,請參閱在 Azure 監視器中搜尋大型數據集和搜尋作業來開始調查。
搜尋特定數據集的作業可能會產生額外費用。 如需詳細資訊,請參閱 Microsoft Sentinel 定價頁面。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
開始搜尋作業
從 Azure 入口網站 或 Microsoft Defender 入口網站移至 Microsoft Sentinel 中的 [搜尋],以輸入您的搜尋準則。 根據目標數據集的大小,搜尋時間會有所不同。 雖然大部分的搜尋工作需要幾分鐘的時間才能完成,但也會支援跨最多 24 小時執行的大規模數據集進行搜尋。
針對 Azure 入口網站 中的 Microsoft Sentinel,請在 [一般] 底下選取 [搜尋]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>搜尋]。選取 [ 數據表] 功能表,然後選擇搜尋的數據表。
在 [ 搜尋 ] 方塊中,輸入搜尋字詞。
選取 [開始] 以開啟進階 Kusto 查詢語言 (KQL) 編輯器,並預覽設定時間範圍的結果。
視需要變更 KQL 查詢,然後選取 [ 執行 ] 以取得搜尋結果的更新預覽。
當您滿意查詢和搜尋結果預覽時,請選取省略號 ... 並切換 [搜尋作業模式]。
選取適當的 時間範圍。
解決編輯器中波浪線所指出的任何 KQL 問題。
當您準備好開始搜尋作業時,請選取 [ 搜尋作業]。
輸入新的數據表名稱來儲存搜尋作業結果。
選取 [ 執行搜尋作業]。
等候通知 搜尋工作完成 以檢視結果。
檢視搜尋作業結果
移至 [ 已儲存的搜尋 ] 索引標籤,以檢視搜尋作業的狀態和結果。
在 Microsoft Sentinel 中,選取 [搜尋已儲存的搜尋>]。
在搜尋卡片上,選取 [ 檢視搜尋結果]。
根據預設,您會看到符合原始搜尋準則的所有結果。
若要精簡搜尋數據表傳回的結果清單,請選取 [ 新增篩選]。
當您檢閱搜尋作業結果時,請選取 [新增書籤],或選取書籤圖示來保留數據列。 新增書籤可讓您標記事件、新增附註,並將這些事件附加至事件以供稍後參考。
選取 [數據行] 按鈕,然後選取您想要新增至結果檢視之數據行旁的複選框。
新增 [ 書籤 ] 篩選條件,只顯示保留的專案。
選取 [檢視所有書籤 ] 以移至 [搜捕 ] 頁面,您可以在其中將書籤新增至現有的事件。
下一步
如需詳細資訊,請參閱下列文章。