Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Restaurez des données à partir d’un journal archivé pour les utiliser dans des requêtes et des analyses hautes performances.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Configuration requise
Avant de restaurer des données dans un journal archivé, consultez Restaurer dans Azure Monitor.
Restaurer les données de journal archivées
Pour restaurer des données de journal archivées dans Microsoft Sentinel, spécifiez la table et l’intervalle de temps pour les données que vous souhaitez restaurer. En quelques minutes, les données de journal sont disponibles dans l’espace de travail Log Analytics. Vous pouvez ensuite utiliser les données dans des requêtes hautes performances qui prennent en charge la Langage de requête Kusto complète (KQL).
Restaurez les données archivées directement à partir de la page Recherche ou à partir d’une recherche enregistrée.
Dans le portail Defender, cette page se trouve au niveau racine Microsoft Sentinel. Dans Microsoft Sentinel, sélectionnez Rechercher. Dans la Portail Azure, cette page est répertoriée sous Général.
Restaurez les données de journal à l’aide de l’une des méthodes suivantes :
Sélectionnez
Restaurer en haut de la page. Dans le volet Restauration sur le côté, sélectionnez la table et l’intervalle de temps que vous souhaitez restaurer, puis sélectionnez Restaurer en bas du volet.Sélectionnez Recherches enregistrées, recherchez les résultats de la recherche que vous souhaitez restaurer, puis sélectionnez Restaurer. Si vous avez plusieurs tables, sélectionnez celle que vous souhaitez restaurer, puis sélectionnez Actions > Restaurer dans le volet latéral. Par exemple :
Attendez que les données du journal soient restaurées. Affichez les status de votre travail de restauration en sélectionnant l’onglet Restauration.
Afficher les données de journal restaurées
Affichez les status et les résultats de la restauration des données du journal en accédant à l’onglet Restauration. Vous pouvez afficher les données restaurées lorsque la status du travail de restauration indique Données disponibles.
Dans Microsoft Sentinel, sélectionnez Restauration de la recherche>.
Une fois votre travail de restauration terminé et le status mis à jour, sélectionnez le nom de la table et passez en revue les résultats.
Dans le Portail Azure, les résultats sont affichés dans la page de requête Journaux. Dans le portail Defender, les résultats sont affichés dans la page Repérage avancé .
Par exemple :
L’intervalle de temps est défini sur un intervalle de temps personnalisé qui utilise les heures de début et de fin des données restaurées.
Supprimer les tables de données restaurées
Pour réduire les coûts, nous vous recommandons de supprimer la table restaurée lorsque vous n’en avez plus besoin. Lorsque vous supprimez une table restaurée, les données sources sous-jacentes ne sont pas supprimées.
Dans Microsoft Sentinel, sélectionnezRestauration de la recherche> et identifiez la table à supprimer.
Sélectionnez Supprimer pour cette ligne de table pour supprimer la table restaurée.