共用方式為


搜尋大型資料集中的事件以開始調查

安全性小組的主要活動之一是搜尋特定事件的記錄。 例如,您可能會在指定時間範圍內搜尋特定使用者的活動記錄。

在 Microsoft Sentinel 中,您可以使用搜尋作業,在極大的資料集中進行長時段的搜尋。 雖然您可以在任何類型的記錄上執行搜尋作業,但搜尋作業最適合用來搜尋長期保留 (先前稱為封存) 狀態的記錄。 如果您需要對這類資料進行完整調查,可將該資料還原成互動式保留狀態,例如您的一般 Log Analytics 資料表,以執行高效能的查詢和更深入的分析。

重要

Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

搜尋大型資料集

若要開始在指定時間範圍內尋找特定事件記錄的調查,請使用搜尋作業。 您可以搜尋所有記錄,以尋找符合準則的事件並篩選結果。

[Search in Microsoft Sentinel] (Microsoft Sentinel 搜尋功能) 建置於搜尋作業之上。 搜尋作業是擷取記錄的非同步查詢。 結果會傳回至在您開始搜尋作業後建立於 Log Analytics 工作區中的搜尋資料表。 搜尋作業會使用平行處理,在極為大型的資料集內執行較長時間跨度的搜尋。 因此,搜尋作業不會影響工作區的效能或可用性。

搜尋結果會儲存在名稱尾碼為 _SRCH 的資料表中。

下圖顯示搜尋作業的範例搜尋準則。

螢幕擷取畫面:具有管理員、過去 1 年時間範圍和已選取資料等搜尋準則的搜尋頁面。

支援的記錄類型

使用搜尋在下列任何記錄類型中尋找事件:

您也可以搜尋儲存在長期保留中的分析記錄或基本記錄資料。

搜尋作業的限制

開始搜尋作業之前,請注意下列限制:

  • 最好一次只查詢一個資料表。
  • 搜尋日期範圍最多為七年。
  • 支援長時間執行的搜尋,逾時上限為 24 小時。
  • 結果僅限於記錄集中的一百萬筆記錄。
  • 每個工作區的每位使用者同時執行限制為五個搜尋作業。
  • 每個工作區的搜尋結果資料表上限為 100 個。
  • 每個工作區每天只能執行 100 個搜尋作業。

下列工作區目前不支援搜尋工作:

  • 已啟用客戶自控金鑰的工作區
  • 中國東部 2 區域中的工作區

若要深入了解,請參閱 Azure 監視器文件中的 Azure 監視器中的搜尋作業

從封存的記錄還原歷史資料

當您需要全面調查儲存在封存記錄中的資料時,請從 Microsoft Sentinel 的 [搜尋] 頁面中還原資料表。 指定您要還原之資料的目標資料表和時間範圍。 在幾分鐘內,記錄資料會還原並在 Log Analytics 工作區內取得。 然後,您可以在支援完整 KQL 的高效能查詢中使用資料。

還原的記錄資料表可在具有 *_RST 尾碼的新資料表中使用。 只要基礎來源資料可用,即可使用還原的資料。 但是您可以隨時刪除還原的資料表,而無需刪除基礎來源資料。 若要節省成本,建議您在不再需要時刪除還原的資料表。

下圖顯示已儲存搜尋的還原選項。

螢幕擷取畫面:已儲存的搜尋上的 [還原] 連結。

記錄還原的限制

開始還原封存的記錄資料表之前,請注意下列限制:

  • 還原至少兩天的資料。
  • 還原超過 14 天的資料。
  • 最多還原 60 TB。
  • 每個資料表的還原限制為一個作用中還原。
  • 每週最多還原四個封存資料表。
  • 每個工作區只能有兩個並行還原作業。

若要深入了解,請參閱還原 Azure 監視器中的記錄

書籤搜尋結果或還原的資料列

類似於威脅搜捕儀表板,資料列若包含您感興趣的資訊,請將該資料列加入書籤,以便將其附加至事件,或後續加以參考。 如需詳細資訊,請參閱建立書籤

下一步