Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine der wichtigsten Aktivitäten eines Sicherheitsteams besteht darin, Protokolle nach bestimmten Ereignissen zu durchsuchen. Sie können z. B. Protokolle für die Aktivitäten eines bestimmten Benutzers innerhalb eines bestimmten Zeitraums durchsuchen.
In Microsoft Sentinel können Sie mithilfe eines Suchauftrags in extrem großen Datasets über lange Zeiträume hinweg suchen. Während Sie einen Suchauftrag für jede Art von Protokoll ausführen können, sind Suchaufträge ideal geeignet, um Protokolle in einem Langzeitaufbewahrungszustand (früher als Archiv bezeichnet) zu durchsuchen. Wenn Sie eine vollständige Untersuchung dieser Daten durchführen müssen, können Sie diese Daten in einen interaktiven Aufbewahrungszustand wiederherstellen – wie ihre regulären Log Analytics-Tabellen –, um leistungsstarke Abfragen und eine tiefere Analyse auszuführen.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Durchsuchen großer Datasets
Verwenden Sie einen Suchauftrag, um Daten abzurufen, die in der Langzeitaufbewahrung gespeichert sind, oder um große Datenmengen zu durchsuchen, wenn das Timeout der Protokollabfrage von 10 Minuten nicht ausreicht. Suchaufträge sind asynchrone Abfragen, die Datensätze in eine Suchtabelle in Ihrem Log Analytics-Arbeitsbereich abrufen. Der Suchauftrag verwendet die parallele Verarbeitung, um lange Zeiträume in extrem großen Datasets zu durchsuchen, sodass Suchaufträge die Leistung oder Verfügbarkeit des Arbeitsbereichs nicht beeinträchtigen.
Suchergebnisse werden in einer Tabelle mit _SRCH dem Suffix gespeichert.
Diese Abbildung zeigt Beispielsuchkriterien für einen Suchauftrag.
Wiederherstellen von Protokolldaten aus der Langzeitaufbewahrung
Wenn Sie eine vollständige Untersuchung der Protokolldaten bei der langfristigen Aufbewahrung durchführen müssen, stellen Sie eine Tabelle von der Seite Suchen in Microsoft Sentinel wieder her. Geben Sie eine Zieltabelle und einen Zeitbereich für die Daten an, die Sie wiederherstellen möchten. Innerhalb weniger Minuten werden die Protokolldaten wiederhergestellt und sind im Log Analytics-Arbeitsbereich verfügbar. Anschließend können Sie die Daten in Hochleistungsabfragen verwenden, die vollständige KQL unterstützen.
Eine wiederhergestellte Protokolltabelle ist in einer neuen Tabelle mit dem Suffix *_RST verfügbar. Die wiederhergestellten Daten sind verfügbar, solange die zugrunde liegenden Quelldaten verfügbar sind. Sie können wiederhergestellte Tabellen jedoch jederzeit löschen, ohne die zugrunde liegenden Quelldaten zu löschen. Um Kosten zu sparen, empfiehlt es sich, die wiederhergestellte Tabelle zu löschen, wenn Sie sie nicht mehr benötigen.
Die folgende Abbildung zeigt die Wiederherstellungsoption für eine gespeicherte Suche.
Einschränkungen der Protokollwiederherstellung
Weitere Informationen finden Sie unter Einschränkungen bei der Wiederherstellung in der Azure Monitor-Dokumentation.
Lesezeichen für Suchergebnisse oder wiederhergestellte Datenzeilen
Ähnlich wie bei der bedrohungssuchenden Dashboard können Sie Zeilen mit interessanten Informationen versehen, damit Sie sie an einen Incident anfügen oder später darauf verweisen können. Weitere Informationen finden Sie unter Erstellen von Lesezeichen.