Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een van de belangrijkste activiteiten van een beveiligingsteam is het zoeken naar logboeken naar specifieke gebeurtenissen. U kunt bijvoorbeeld in logboeken zoeken naar de activiteiten van een specifieke gebruiker binnen een bepaald tijdsbestek.
In Microsoft Sentinel kunt u zoeken in lange perioden in extreem grote gegevenssets met behulp van een zoektaak. Hoewel u een zoektaak kunt uitvoeren op elk type logboek, zijn zoektaken ideaal voor het zoeken naar logboeken met een langetermijnretentiestatus (voorheen bekend als archief). Als u een volledig onderzoek naar dergelijke gegevens moet uitvoeren, kunt u die gegevens herstellen in een interactieve retentiestatus, zoals uw normale Log Analytics-tabellen, om query's met hoge prestaties en diepere analyses uit te voeren.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Zoeken in grote gegevenssets
Gebruik een zoektaak om gegevens op te halen die zijn opgeslagen in langetermijnretentie of om grote hoeveelheden gegevens te scannen, als de time-out van de logboekquery van 10 minuten niet voldoende is. Zoektaken zijn asynchrone query's die records ophalen in een zoektabel in uw Log Analytics-werkruimte. De zoektaak maakt gebruik van parallelle verwerking om te zoeken in lange tijdsperioden in extreem grote gegevenssets, zodat zoektaken geen invloed hebben op de prestaties of beschikbaarheid van de werkruimte.
Zoekresultaten worden opgeslagen in een tabel met de naam met een _SRCH achtervoegsel.
In deze afbeelding ziet u een voorbeeld van zoekcriteria voor een zoektaak.
Logboekgegevens herstellen vanuit langetermijnretentie
Wanneer u een volledig onderzoek moet uitvoeren naar logboekgegevens in langetermijnretentie, herstelt u een tabel vanaf de pagina Zoeken in Microsoft Sentinel. Geef een doeltabel en tijdsbereik op voor de gegevens die u wilt herstellen. Binnen een paar minuten zijn de logboekgegevens hersteld en beschikbaar in de Log Analytics-werkruimte. Vervolgens kunt u de gegevens gebruiken in query's met hoge prestaties die volledige KQL ondersteunen.
Een herstelde logboektabel is beschikbaar in een nieuwe tabel met een achtervoegsel *_RST. De herstelde gegevens zijn beschikbaar zolang de onderliggende brongegevens beschikbaar zijn. U kunt herstelde tabellen echter op elk gewenst moment verwijderen zonder de onderliggende brongegevens te verwijderen. Als u kosten wilt besparen, raden we u aan de herstelde tabel te verwijderen wanneer u deze niet meer nodig hebt.
In de volgende afbeelding ziet u de hersteloptie voor een opgeslagen zoekopdracht.
Beperkingen van logboekherstel
Zie Beperkingen herstellen in de Azure Monitor-documentatie.
Bladwijzers toevoegen aan zoekresultaten of herstelde gegevensrijen
Vergelijkbaar met het dashboard voor het opsporen van bedreigingen, bladwijzerrijen met informatie die u interessant vindt, zodat u ze kunt koppelen aan een incident of er later naar kunt verwijzen. Zie Bladwijzers maken voor meer informatie.