セキュリティ チームの主なアクティビティの 1 つは、特定のイベントのログを検索することです。 たとえば、特定の時間枠内の特定のユーザーのアクティビティをログで検索できます。
Microsoft Sentinelでは、検索ジョブを使用して、非常に大規模なデータセットで長期間にわたって検索できます。 検索ジョブは任意の種類のログで実行できますが、検索ジョブは、長期保有 (旧称アーカイブ) 状態のログを検索するのに最適です。 このようなデータを完全に調査する必要がある場合は、そのデータを対話型の保持状態 (通常の Log Analytics テーブルなど) に復元して、高パフォーマンスのクエリとより詳細な分析を実行できます。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
大規模なデータセットを検索する
ログ クエリのタイムアウトが 10 分で十分でない場合は、検索ジョブを使用して 、長期保有期間に格納されているデータを取得したり、大量のデータをスキャンしたりします。 検索ジョブは、Log Analytics ワークスペース内の検索テーブルにレコードをフェッチする非同期クエリです。 検索ジョブは並列処理を使用して、非常に大規模なデータセット内の長い期間にわたって検索するため、検索ジョブはワークスペースのパフォーマンスや可用性に影響を与えません。
検索結果は、 _SRCH サフィックスを持つ という名前のテーブルに格納されます。
この画像は、検索ジョブの検索条件の例を示しています。
長期保有からログ データを復元する
長期保有期間のログ データに関する完全な調査を行う必要がある場合は、Microsoft Sentinelの [検索] ページからテーブルを復元します。 復元するデータのターゲット テーブルと時間範囲を指定します。 数分でログ データが復元され、Log Analytics ワークスペース内で使用できるようになります。 その後、完全な KQL をサポートする高パフォーマンス クエリでデータを使用できます。
復元されたログ テーブルは、*_RST サフィックスを持つ新しいテーブルで使用できます。 復元されたデータは、基になるソース データが使用可能な限り使用できます。 ただし、復元されたテーブルは、基になるソース データを削除せずにいつでも削除できます。 コストを節約するために、復元されたテーブルは不要になったときに削除することをお勧めします。
次の図は、保存された検索の復元オプションを示しています。
ログの復元の制限事項
Azure Monitor のドキュメントの「復元の制限事項」を参照してください。
検索結果または復元されたデータ行をブックマークする
脅威ハンティング ダッシュボードと同様に、興味深い情報を含むブックマーク行を使用して、インシデントにアタッチしたり、後で参照したりできます。 詳細については、「ブックマークの 作成」を参照してください。