Megosztás a következőn keresztül:

Vizsgálat indítása nagyméretű adathalmazokban lévő események keresésével

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A biztonsági csapat egyik elsődleges tevékenysége az adott események naplóinak keresése. Előfordulhat például, hogy naplókban keres egy adott felhasználó tevékenységeit egy adott időkereten belül.

A Microsoft Sentinelben egy keresési feladat használatával hosszú ideig kereshet rendkívül nagy adathalmazokban. Bár bármilyen típusú naplón futtathat keresési feladatot, a keresési feladatok ideálisak a hosszú távú megőrzési (korábbi nevén archív) állapotú naplók kereséséhez. Ha teljes körű vizsgálatot kell végeznie ezeken az adatokon, visszaállíthatja az adatokat interaktív adatmegőrzési állapotba – például a szokásos Log Analytics-táblákba – a nagy teljesítményű lekérdezések és a mélyebb elemzések futtatásához.

Fontos

A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Nagyméretű adathalmazok keresése

Keresési feladat használata a vizsgálat indításakor adott események kereséséhez a naplókban egy adott időkereten belül. Az összes naplóban megkeresheti a feltételeknek megfelelő eseményeket, és szűrheti az eredményeket.

A Keresés a Microsoft Sentinelben a keresési feladatokra épül. A keresési feladatok a rekordokat lekérő aszinkron lekérdezések. A rendszer a keresési feladat elindítása után visszaadja az eredményeket a Log Analytics-munkaterületen létrehozott keresési táblának. A keresési feladat párhuzamos feldolgozást használ a keresés hosszú ideig tartó futtatásához, rendkívül nagy adathalmazokban. A keresési feladatok tehát nem befolyásolják a munkaterület teljesítményét vagy rendelkezésre állását.

A keresési eredmények egy utótaggal _SRCH ellátott táblában vannak tárolva.

Az alábbi képen egy keresési feladat keresési feltételeinek példái láthatók.

Képernyőkép a keresési oldalról a rendszergazda keresési feltételeivel, az elmúlt 1 év időtartományával és egy kijelölt táblával.

Támogatott naplótípusok

A kereséssel az alábbi naplótípusok bármelyikében kereshet eseményeket:

A hosszú távú megőrzésben tárolt elemzések és alapszintű naplóadatok között is kereshet.

Keresési feladatok korlátozásai

Keresési feladat indítása előtt vegye figyelembe a következő korlátozásokat:

  • Úgy van optimalizálva, hogy egyszerre egy táblát kérdezz le.
  • A keresési dátumtartomány legfeljebb hét év lehet.
  • Támogatja a hosszú ideig futó kereséseket akár 24 órás időtúllépésig.
  • Az eredmények legfeljebb egymillió rekordot tartalmazhatnak a rekordhalmazban.
  • A felhasználónkénti egyidejű végrehajtás munkaterületenként öt keresési feladatra korlátozódik.
  • Munkaterületenként legfeljebb 100 keresési eredménytábla lehet.
  • Munkaterületenként naponta legfeljebb 100 keresési feladat végrehajtása engedélyezett.

A keresési feladatok jelenleg nem támogatottak a következő munkaterületeken:

  • Ügyfél által felügyelt kulcsokkal kompatibilis munkaterületek
  • Munkaterületek a Kína 2. keleti régiójában

További információ: Keresési feladat az Azure Monitorban az Azure Monitor dokumentációjában.

Előzményadatok visszaállítása archivált naplókból

Ha teljes körű vizsgálatot kell végeznie az archivált naplókban tárolt adatokon, állítsa vissza a táblázatot a Microsoft Sentinel keresési oldaláról. Adja meg a visszaállítani kívánt adatok céltáblázatát és időtartományát. Néhány percen belül a rendszer visszaállítja a naplóadatokat, és elérhetővé válik a Log Analytics-munkaterületen. Ezután a teljes KQL-t támogató nagy teljesítményű lekérdezésekben használhatja az adatokat.

A visszaállított naplótáblák *_RST utótagot tartalmazó új táblában érhetők el. A visszaállított adatok mindaddig elérhetők, amíg a mögöttes forrásadatok rendelkezésre állnak. A visszaállított táblákat azonban bármikor törölheti a mögöttes forrásadatok törlése nélkül. A költségek csökkentése érdekében javasoljuk, hogy törölje a visszaállított táblát, ha már nincs rá szüksége.

Az alábbi képen egy mentett keresés visszaállítási lehetősége látható.

Képernyőkép egy mentett keresés visszaállítási hivatkozásáról.

A naplók visszaállításának korlátozásai

Az archivált naplótáblák visszaállítása előtt vegye figyelembe az alábbi korlátozásokat:

  • Az adatok visszaállítása legalább két napig.
  • 14 napnál régebbi adatok visszaállítása.
  • Akár 60 TB-os visszaállítás.
  • A visszaállítás táblánként egy aktív visszaállításra korlátozódik.
  • Munkaterületenként legfeljebb négy archivált tábla visszaállítása hetente.
  • Munkaterületenként legfeljebb két egyidejű visszaállítási feladat lehet.

További információ: Visszaállítási naplók az Azure Monitorban.

Könyvjelző keresési eredményei vagy visszaállított adatsorok

A fenyegetéskeresési irányítópulthoz hasonlóan az érdekesnek talált információkat tartalmazó könyvjelzősorokat is csatolhatja egy incidenshez, vagy később hivatkozhat rájuk. További információ: Könyvjelzők létrehozása.

Következő lépések