Keresés hosszú ideig nagy adathalmazokban
Keresési feladat használata, amikor vizsgálatot indít, hogy konkrét eseményeket találjon a naplókban akár hét évvel ezelőtt. Az összes naplóban kereshet eseményeket, beleértve az Analytics, az Alapszintű és az Archivált naplócsomagok eseményeit is. Szűrje és keresse meg a feltételeknek megfelelő eseményeket.
A keresési feladatok fogalmaival és korlátaival kapcsolatos további információkért lásd : Vizsgálat indítása nagy adathalmazok és keresési feladatok keresésével az Azure Monitorban.
Bizonyos adathalmazokban a keresési feladatok további díjakat vonhatnak maga után. További információt a Microsoft Sentinel díjszabási oldalán talál.
Fontos
A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Keresési feladat indítása
Nyissa meg a Keresés a Microsoft Sentinelben lehetőséget az Azure Portalon vagy a Microsoft Defender portálon a keresési feltételek megadásához. A céladatkészlet méretétől függően a keresési idő változó. Bár a legtöbb keresési feladat végrehajtása néhány percet vesz igénybe, az akár 24 órán át futó nagy adathalmazokban végzett keresések is támogatottak.
Az Azure PortalOn a Microsoft Sentinel esetében az Általános területen válassza a Keresés lehetőséget.
A Microsoft Sentinel a Defender portálon válassza a Microsoft Sentinel>Search lehetőséget.Válassza ki a Táblázat menüt, és válasszon egy táblát a kereséshez.
A Keresőmezőbe írjon be egy keresőkifejezést.
A Start gombra kattintva megnyithatja a speciális Kusto lekérdezésnyelv (KQL) szerkesztőt, és megtekintheti az eredmények előnézetét egy megadott időtartományban.
Szükség szerint módosítsa a KQL-lekérdezést, és válassza a Futtatás lehetőséget a keresési eredmények frissített előnézetének lekéréséhez.
Ha elégedett a lekérdezéssel és a keresési eredmények előnézetével, válassza ki a három pontot ... és kapcsolja be a Keresési feladat módot .
Válassza ki a megfelelő időtartományt.
Oldja meg a szerkesztőben egy hullámos piros vonal által jelzett KQL-problémákat.
Ha készen áll a keresési feladat elindítására, válassza a Keresési feladat lehetőséget.
Adjon meg egy új táblanevet a keresési feladatok eredményeinek tárolásához.
Válassza a Keresési feladat futtatása lehetőséget.
Várja meg, amíg az értesítés keresési feladat befejeződik az eredmények megtekintéséhez.
Keresési feladatok eredményeinek megtekintése
A Mentett keresések lapra kattintva megtekintheti a keresési feladat állapotát és eredményeit.
A Microsoft Sentinelben válassza a Mentett keresések keresése>lehetőséget.
A keresési kártyán válassza a Keresési eredmények megtekintése lehetőséget.
Alapértelmezés szerint az összes találat megjelenik, amely megfelel az eredeti keresési feltételeknek.
A keresési táblából visszaadott találatok listájának pontosításához válassza a Szűrő hozzáadása lehetőséget.
A keresési feladatok eredményeinek áttekintése során válassza a Könyvjelző hozzáadása lehetőséget, vagy a könyvjelző ikont a sor megőrzéséhez. Könyvjelző hozzáadása lehetővé teszi események címkézését, jegyzetek hozzáadását és az események incidenshez való csatolását későbbi hivatkozás céljából.
Jelölje be az Oszlopok gombot, és jelölje be a találati nézethez hozzáadni kívánt oszlopok melletti jelölőnégyzetet.
Adja hozzá a könyvjelzővel jelölt szűrőt , hogy csak a megőrzött bejegyzések jelenjenek meg.
Válassza az Összes könyvjelző megtekintése lehetőséget a Vadászat lapra való ugráshoz, ahol könyvjelzőt adhat hozzá egy meglévő incidenshez.
Következő lépések
További információért tekintse meg az alábbi cikkeket.