在大型數據集中跨長時間搜尋

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

當您開始調查時，請使用搜尋工作，在最多七年前的記錄中尋找特定事件。 您可以搜尋所有記錄的事件，包括 Analytics、Basic 和 Archived 記錄計畫中的事件。 篩選並尋找符合準則的事件。

• 如需搜尋作業概念和限制的詳細資訊，請參閱在 Azure 監視器中搜尋大型數據集和搜尋作業來開始調查。

• 搜尋特定數據集的作業可能會產生額外費用。 如需詳細資訊，請參閱 Microsoft Sentinel 定價頁面。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

開始搜尋作業

從 Azure 入口網站 或 Microsoft Defender 入口網站移至 Microsoft Sentinel 中的 [搜尋]，以輸入您的搜尋準則。 根據目標數據集的大小，搜尋時間會有所不同。 雖然大部分的搜尋工作需要幾分鐘的時間才能完成，但也會支援跨最多 24 小時執行的大規模數據集進行搜尋。

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，請在 [一般] 底下選取 [搜尋]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>搜尋]。

2. 選取 [ 數據表] 功能表，然後選擇搜尋的數據表。

3. 在 [ 搜尋 ] 方塊中，輸入搜尋字詞。

   Azure 入口網站

   

   Defender 入口網站

   

4. 選取 [開始] 以開啟進階 Kusto 查詢語言 （KQL） 編輯器，並預覽設定時間範圍的結果。

5. 視需要變更 KQL 查詢，然後選取 [ 執行 ] 以取得搜尋結果的更新預覽。

   

6. 當您滿意查詢和搜尋結果預覽時，請選取省略號 ... 並切換 [搜尋作業模式]。

   

7. 選取適當的 時間範圍。

8. 解決編輯器中波浪線所指出的任何 KQL 問題。

9. 當您準備好開始搜尋作業時，請選取 [ 搜尋作業]。

10. 輸入新的數據表名稱來儲存搜尋作業結果。

11. 選取 [ 執行搜尋作業]。

12. 等候通知 搜尋工作完成 以檢視結果。

檢視搜尋作業結果

移至 [ 已儲存的搜尋 ] 索引標籤，以檢視搜尋作業的狀態和結果。

1. 在 Microsoft Sentinel 中，選取 [搜尋已儲存的搜尋>]。

2. 在搜尋卡片上，選取 [ 檢視搜尋結果]。

   

   根據預設，您會看到符合原始搜尋準則的所有結果。

3. 若要精簡搜尋數據表傳回的結果清單，請選取 [ 新增篩選]。

4. 當您檢閱搜尋作業結果時，請選取 [新增書籤]，或選取書籤圖示來保留數據列。 新增書籤可讓您標記事件、新增附註，並將這些事件附加至事件以供稍後參考。

   

5. 選取 [數據行] 按鈕，然後選取您想要新增至結果檢視之數據行旁的複選框。

6. 新增 [ 書籤 ] 篩選條件，只顯示保留的專案。

7. 選取 [檢視所有書籤 ] 以移至 [搜捕 ] 頁面，您可以在其中將書籤新增至現有的事件。

下一步

如需詳細資訊，請參閱下列文章。

• 使用書籤進行搜尋
• 還原封存的記錄
• 在 Azure 監視器記錄中設定資料保留和封存原則 （預覽）