Vizsgálat indítása nagyméretű adathalmazokban lévő események keresésével
A biztonsági csapat egyik elsődleges tevékenysége az adott események naplóinak keresése. Előfordulhat például, hogy naplókban keres egy adott felhasználó tevékenységeit egy adott időkereten belül.
A Microsoft Sentinelben egy keresési feladat használatával hosszú ideig kereshet rendkívül nagy adathalmazokban. Bár bármilyen típusú naplón futtathat keresési feladatot, a keresési feladatok ideálisak a hosszú távú megőrzési (korábbi nevén archív) állapotú naplók kereséséhez. Ha teljes körű vizsgálatot kell végeznie ezeken az adatokon, visszaállíthatja az adatokat interaktív adatmegőrzési állapotba – például a szokásos Log Analytics-táblákba – a nagy teljesítményű lekérdezések és a mélyebb elemzések futtatásához.
Fontos
A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Nagyméretű adathalmazok keresése
Keresési feladat használata a vizsgálat indításakor adott események kereséséhez a naplókban egy adott időkereten belül. Az összes naplóban megkeresheti a feltételeknek megfelelő eseményeket, és szűrheti az eredményeket.
A Keresés a Microsoft Sentinelben a keresési feladatokra épül. A keresési feladatok a rekordokat lekérő aszinkron lekérdezések. A rendszer a keresési feladat elindítása után visszaadja az eredményeket a Log Analytics-munkaterületen létrehozott keresési táblának. A keresési feladat párhuzamos feldolgozást használ a keresés hosszú ideig tartó futtatásához, rendkívül nagy adathalmazokban. A keresési feladatok tehát nem befolyásolják a munkaterület teljesítményét vagy rendelkezésre állását.
A keresési eredmények egy utótaggal _SRCH
ellátott táblában vannak tárolva.
Az alábbi képen egy keresési feladat keresési feltételeinek példái láthatók.
Támogatott naplótípusok
A kereséssel az alábbi naplótípusok bármelyikében kereshet eseményeket:
A hosszú távú megőrzésben tárolt elemzések és alapszintű naplóadatok között is kereshet.
Keresési feladatok korlátozásai
Keresési feladat indítása előtt vegye figyelembe a következő korlátozásokat:
- Úgy van optimalizálva, hogy egyszerre egy táblát kérdezz le.
- A keresési dátumtartomány legfeljebb hét év lehet.
- Támogatja a hosszú ideig futó kereséseket akár 24 órás időtúllépésig.
- Az eredmények legfeljebb egymillió rekordot tartalmazhatnak a rekordhalmazban.
- A felhasználónkénti egyidejű végrehajtás munkaterületenként öt keresési feladatra korlátozódik.
- Munkaterületenként legfeljebb 100 keresési eredménytábla lehet.
- Munkaterületenként naponta legfeljebb 100 keresési feladat végrehajtása engedélyezett.
A keresési feladatok jelenleg nem támogatottak a következő munkaterületeken:
- Ügyfél által felügyelt kulcsokkal kompatibilis munkaterületek
- Munkaterületek a Kína 2. keleti régiójában
További információ: Keresési feladat az Azure Monitorban az Azure Monitor dokumentációjában.
Előzményadatok visszaállítása archivált naplókból
Ha teljes körű vizsgálatot kell végeznie az archivált naplókban tárolt adatokon, állítsa vissza a táblázatot a Microsoft Sentinel keresési oldaláról. Adja meg a visszaállítani kívánt adatok céltáblázatát és időtartományát. Néhány percen belül a rendszer visszaállítja a naplóadatokat, és elérhetővé válik a Log Analytics-munkaterületen. Ezután a teljes KQL-t támogató nagy teljesítményű lekérdezésekben használhatja az adatokat.
A visszaállított naplótáblák *_RST utótagot tartalmazó új táblában érhetők el. A visszaállított adatok mindaddig elérhetők, amíg a mögöttes forrásadatok rendelkezésre állnak. A visszaállított táblákat azonban bármikor törölheti a mögöttes forrásadatok törlése nélkül. A költségek csökkentése érdekében javasoljuk, hogy törölje a visszaállított táblát, ha már nincs rá szüksége.
Az alábbi képen egy mentett keresés visszaállítási lehetősége látható.
A naplók visszaállításának korlátozásai
Az archivált naplótáblák visszaállítása előtt vegye figyelembe az alábbi korlátozásokat:
- Az adatok visszaállítása legalább két napig.
- 14 napnál régebbi adatok visszaállítása.
- Akár 60 TB-os visszaállítás.
- A visszaállítás táblánként egy aktív visszaállításra korlátozódik.
- Munkaterületenként legfeljebb négy archivált tábla visszaállítása hetente.
- Munkaterületenként legfeljebb két egyidejű visszaállítási feladat lehet.
További információ: Visszaállítási naplók az Azure Monitorban.
Könyvjelző keresési eredményei vagy visszaállított adatsorok
A fenyegetéskeresési irányítópulthoz hasonlóan az érdekesnek talált információkat tartalmazó könyvjelzősorokat is csatolhatja egy incidenshez, vagy később hivatkozhat rájuk. További információ: Könyvjelzők létrehozása.