Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’une des principales activités d’une équipe de sécurité consiste à rechercher des événements spécifiques dans les journaux. Par exemple, vous pouvez rechercher dans les journaux les activités d’un utilisateur spécifique dans un laps de temps donné.
Dans Microsoft Sentinel, vous pouvez effectuer des recherches sur de longues périodes dans des jeux de données extrêmement volumineux à l’aide d’un travail de recherche. Bien que vous puissiez exécuter un travail de recherche sur n’importe quel type de journal, les travaux de recherche sont parfaitement adaptés à la recherche de journaux dans un état de rétention à long terme (anciennement appelé archive). Si vous devez effectuer une investigation complète sur ces données, vous pouvez restaurer ces données dans un état de rétention interactif, comme vos tables Log Analytics standard, pour exécuter des requêtes hautes performances et une analyse plus approfondie.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Rechercher des jeux de données volumineux
Utilisez un travail de recherche pour récupérer des données stockées dans une conservation à long terme ou pour analyser de gros volumes de données, si le délai d’attente de la requête de journal de 10 minutes n’est pas suffisant. Les travaux de recherche sont des requêtes asynchrones qui extraient des enregistrements dans une table de recherche dans votre espace de travail Log Analytics. La tâche de recherche utilise le traitement parallèle pour effectuer des recherches sur de longues périodes dans des jeux de données extrêmement volumineux, de sorte que les travaux de recherche n’ont pas d’impact sur les performances ou la disponibilité de l’espace de travail.
Les résultats de la recherche sont stockés dans une table nommée avec un _SRCH suffixe.
Cette image montre des exemples de critères de recherche pour un travail de recherche.
Restaurer les données de journal à partir d’une conservation à long terme
Lorsque vous devez effectuer une investigation complète des données de journal dans la conservation à long terme, restaurez une table à partir de la page De recherche dans Microsoft Sentinel. Spécifiez une table cible et un intervalle de temps pour les données que vous souhaitez restaurer. En quelques minutes, les données de journal sont restaurées et disponibles dans l’espace de travail Log Analytics. Vous pouvez ensuite utiliser les données dans des requêtes hautes performances qui prennent en charge le KQL complet.
Une table de journaux restaurée est disponible dans une nouvelle table qui a un suffixe *_RST. Les données restaurées sont disponibles tant que les données sources sous-jacentes sont disponibles. Toutefois, vous pouvez supprimer les tables restaurées à tout moment sans supprimer les données sources sous-jacentes. Pour réduire les coûts, nous vous recommandons de supprimer la table restaurée lorsque vous n’en avez plus besoin.
L’image suivante montre l’option de restauration sur une recherche enregistrée.
Limitations de la restauration des journaux
Consultez Limitations de la restauration dans la documentation Azure Monitor.
Résultats de la recherche par signet ou lignes de données restaurées
À l’instar du tableau de bord de repérage des menaces, les lignes de signet qui contiennent des informations que vous trouvez intéressantes afin de pouvoir les joindre à un incident ou y faire référence ultérieurement. Pour plus d’informations, consultez Créer des signets.