Bagikan melalui

Mencari di rentang waktu yang lama dalam himpunan data besar

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Gunakan pekerjaan pencarian saat Anda memulai penyelidikan untuk menemukan peristiwa tertentu dalam log hingga tujuh tahun yang lalu. Anda dapat mencari peristiwa di semua log Anda, termasuk peristiwa di paket log Analytics, Basic, dan Archived. Filter dan cari peristiwa yang cocok dengan kriteria Anda.

Penting

Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Mulai pekerjaan pencarian

Buka Cari di Microsoft Azure Sentinel dari portal Azure atau portal Pertahanan Microsoft untuk memasukkan kriteria pencarian Anda. Bergantung pada ukuran himpunan data target, waktu pencarian bervariasi. Meskipun sebagian besar pekerjaan pencarian membutuhkan waktu beberapa menit untuk diselesaikan, pencarian di seluruh himpunan data besar yang berjalan hingga 24 jam juga didukung.

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Umum, pilih Cari.
    Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Pencarian Microsoft Sentinel>.

  2. Pilih menu Tabel dan pilih tabel untuk pencarian Anda.

  3. Dalam kotak Pencarian , masukkan istilah pencarian.

  4. Pilih editor Mulai untuk membuka editor Bahasa Kueri Kusto tingkat lanjut (KQL) dan pratinjau hasil untuk rentang waktu yang ditetapkan.

  5. Ubah kueri KQL sesuai kebutuhan dan pilih Jalankan untuk mendapatkan pratinjau hasil pencarian yang diperbarui.

    Cuplikan layar editor KQL dengan pencarian yang direvisi.

  6. Saat Anda puas dengan kueri dan pratinjau hasil pencarian, pilih elipsis ... dan aktifkan mode pekerjaan Pencarian.

    Cuplikan layar editor KQL dengan pencarian yang direvisi dengan elipsis disorot untuk mode pekerjaan Pencarian.

  7. Pilih Rentang waktu yang sesuai.

  8. Atasi masalah KQL yang ditunjukkan oleh garis merah berlekuk di editor.

  9. Saat Anda siap untuk memulai pekerjaan pencarian, pilih Cari pekerjaan.

  10. Masukkan nama tabel baru untuk menyimpan hasil pekerjaan pencarian.

  11. Pilih Jalankan pekerjaan pencarian.

  12. Tunggu hingga tugas Pencarian pemberitahuan selesai untuk melihat hasilnya.

Lihat hasil pencarian pekerjaan

Lihat status dan hasil pekerjaan penelusuran Anda dengan membuka tab Penelusuran Tersimpan.

  1. Di Microsoft Azure Sentinel, pilih Pencarian Tersimpan Pencarian>.

  2. Pada kartu penelusuran, pilih Lihat hasil penelusuran.

    Cuplikan layar yang memperlihatkan tautan untuk melihat hasil pencarian di bagian bawah kartu pekerjaan pencarian.

    Secara default, Anda melihat semua hasil yang cocok dengan kriteria pencarian asli Anda.

  3. Untuk menyempurnakan daftar hasil yang dikembalikan dari tabel pencarian, pilih Tambahkan filter.

  4. Saat Anda meninjau hasil pekerjaan pencarian, pilih Tambahkan marka buku, atau pilih ikon marka buku untuk mempertahankan baris. Menambahkan marka buku memungkinkan Anda menandai peristiwa, menambahkan catatan, dan melampirkan peristiwa ini ke insiden untuk referensi nanti.

    Cuplikan layar yang memperlihatkan hasil pekerjaan pencarian dengan marka buku dalam proses ditambahkan.

  5. Pilih tombol Kolom dan pilih kotak centang di samping kolom yang ingin Anda tambahkan ke tampilan hasil.

  6. Tambahkan filter Bookmark untuk hanya menampilkan entri yang dipertahankan.

  7. Pilih Tampilkan semua marka buku untuk membuka halaman Berburu tempat Anda bisa menambahkan marka buku ke insiden yang sudah ada.

Langkah berikutnya

Untuk mempelajari selengkapnya, lihat artikel berikut ini.