Condividi tramite

Ripristinare i log archiviati dalla ricerca

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ripristinare i dati da un log archiviato da usare in query e analisi ad alte prestazioni.

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Prima di ripristinare i dati in un log archiviato, vedere Avviare un'indagine eseguendo una ricerca in set di dati di grandi dimensioni (anteprima) e Ripristino in Monitoraggio di Azure.

Ripristinare i dati dei log archiviati

Per ripristinare i dati dei log archiviati in Microsoft Sentinel, specificare la tabella e l'intervallo di tempo per i dati da ripristinare. Entro pochi minuti, i dati dei log sono disponibili nell'area di lavoro Log Analytics. È quindi possibile usare i dati nelle query ad alte prestazioni che supportano il linguaggio di query Kusto completo (KQL).

Ripristinare i dati archiviati direttamente dalla pagina Ricerca o da una ricerca salvata.

  1. In Microsoft Sentinel, selezionare Ricerca. Nel portale di Azure questa pagina è elencata in Generale. Nel portale di Defender, questa pagina si trova a livello radice di Microsoft Sentinel.

  2. Ripristinare i dati di log usando uno dei metodi seguenti:

    • Selezionare Ripristina nella parte superiore della pagina. Nel riquadro Ripristino sul lato selezionare la tabella e l'intervallo di tempo da ripristinare e quindi selezionare Ripristina nella parte inferiore del riquadro.

    • Selezionare Ricerche salvate, individuare i risultati della ricerca da ripristinare e quindi selezionare Ripristina. Se sono presenti più tabelle, selezionare quella che si vuole ripristinare e quindi selezionare Azioni > Ripristina nel riquadro laterale. Ad esempio:

      Screenshot del ripristino di una ricerca di siti specifica.

  3. Attendere che i dati dei log vengano ripristinati. Visualizzare lo stato del processo di ripristino selezionando la scheda Ripristino.

Visualizzare i dati dei log ripristinati

Visualizzare lo stato e i risultati del ripristino dei dati di log passando alla scheda Ripristino. È possibile visualizzare i dati ripristinati quando lo stato del processo di ripristino mostra Dati disponibili.

  1. In Microsoft Sentinel, selezionare Ricerca>Ripristino.

  2. Al termine del processo di ripristino e lo stato viene aggiornato, selezionare il nome della tabella ed esaminare i risultati.

    Nella portale di Azure, i risultati vengono visualizzati nella pagina di query log. Nel portale di Defender i risultati vengono visualizzati nella pagina Ricerca avanzata.

    Ad esempio:

    Screenshot che mostra il riquadro delle query dei log con i risultati della tabella ripristinati.

    Il Intervallo di tempo è impostato su un intervallo di tempo personalizzato che utilizza l'ora di inizio e di fine dei dati ripristinati.

Eliminare le tabelle dati ripristinate

Per risparmiare sui costi, è consigliabile eliminare la tabella ripristinata quando non è più necessaria. Quando si elimina una tabella ripristinata, i dati di origine sottostanti non vengono eliminati.

  1. In Microsoft Sentinel selezionare Ricerca>Ripristino e identificare la tabella da eliminare.

  2. Selezionare Elimina per la riga della tabella per eliminare la tabella ripristinata.

Passaggi successivi