Megosztás a következőn keresztül:

Archivált naplók visszaállítása a keresésből

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Adatok visszaállítása archivált naplóból a nagy teljesítményű lekérdezésekben és elemzésekben való használatra.

Fontos

A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

Mielőtt visszaállítja az adatokat egy archivált naplóban, olvassa el a vizsgálat indítását nagy adatkészletek (előzetes verzió) és visszaállítás az Azure Monitorban való keresésével.

Archivált naplóadatok visszaállítása

Az archivált naplóadatok a Microsoft Sentinelben való visszaállításához adja meg a visszaállítani kívánt adatok tábláit és időtartományát. A naplóadatok néhány percen belül elérhetők a Log Analytics-munkaterületen. Ezután a teljes Kusto lekérdezésnyelv (KQL) támogató nagy teljesítményű lekérdezésekben használhatja az adatokat.

Archivált adatok visszaállítása közvetlenül a Keresés lapról vagy egy mentett keresésből.

  1. A Microsoft Sentinelben válassza a Keresés lehetőséget. Az Azure Portalon ez a lap az Általános területen jelenik meg. A Defender portálon ez a lap a Microsoft Sentinel gyökérszintjén található.

  2. A naplóadatok visszaállítása az alábbi módszerek egyikével:

    • Válassza a Lap tetején található Visszaállítás lehetőséget. Az oldal Visszaállítás paneljén válassza ki a visszaállítani kívánt táblázatot és időtartományt, majd válassza a Visszaállítás lehetőséget a panel alján.

    • Válassza a Mentett keresések lehetőséget, keresse meg a visszaállítani kívánt keresési eredményeket, majd válassza a Visszaállítás lehetőséget. Ha több táblája van, jelölje ki azt, amelyet vissza szeretne állítani, majd válassza az oldalpanelEn a Visszaállítás műveletek lehetőséget>. Példa:

      Képernyőkép egy adott webhelykeresés visszaállításáról.

  3. Várja meg, amíg a naplóadatok helyreállnak. A visszaállítási feladat állapotának megtekintéséhez válassza a Visszaállítás lapot.

Visszaállított naplóadatok megtekintése

A naplóadatok visszaállításának állapotát és eredményeit a Visszaállítás lapra kattintva tekintheti meg. A visszaállított adatokat akkor tekintheti meg, ha a visszaállítási feladat állapota az Elérhető adatokat jeleníti meg.

  1. A Microsoft Sentinelben válassza a Keresés>visszaállítása lehetőséget.

  2. Ha a visszaállítási feladat befejeződött, és az állapot frissül, válassza ki a tábla nevét, és tekintse át az eredményeket.

    Az Azure Portalon az eredmények a Naplók lekérdezési lapon jelennek meg. A Defender portálon az eredmények a Speciális vadászlapon jelennek meg.

    Példa:

    A naplók lekérdezési paneljének képernyőképe a visszaállított táblaeredményekkel.

    Az időtartomány egyéni időtartományra van állítva, amely a visszaállított adatok kezdő és záró időpontját használja.

Visszaállított adattáblák törlése

A költségek csökkentése érdekében javasoljuk, hogy törölje a visszaállított táblát, ha már nincs rá szüksége. Visszaállított tábla törlésekor a rendszer nem törli a mögöttes forrásadatokat.

  1. A Microsoft Sentinelben válassza a Keresés>visszaállítása lehetőséget, és azonosítsa a törölni kívánt táblát.

  2. A visszaállított tábla törléséhez válassza a Törlés lehetőséget a táblasorhoz.

Következő lépések