Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma das principais atividades de uma equipa de segurança é procurar registos para eventos específicos. Por exemplo, pode procurar registos para as atividades de um utilizador específico dentro de um determinado período de tempo.
No Microsoft Sentinel, pode procurar por longos períodos de tempo em conjuntos de dados extremamente grandes através de uma tarefa de pesquisa. Embora possa executar uma tarefa de pesquisa em qualquer tipo de registo, as tarefas de pesquisa são idealmente adequadas para procurar registos num estado de retenção de longo prazo (anteriormente conhecido como arquivo). Se precisar de fazer uma investigação completa sobre esses dados, pode restaurar esses dados para um estado de retenção interativo , como as tabelas regulares do Log Analytics, para executar consultas de alto desempenho e análises mais profundas.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Procurar conjuntos de dados grandes
Utilize uma tarefa de pesquisa para obter dados armazenados em retenção de longo prazo ou para analisar grandes volumes de dados, se o tempo limite da consulta de registo de 10 minutos não for suficiente. As tarefas de pesquisa são consultas assíncronas que obtêm registos para uma tabela de pesquisa na área de trabalho do Log Analytics. A tarefa de pesquisa utiliza o processamento paralelo para procurar longos intervalos de tempo em conjuntos de dados extremamente grandes, pelo que as tarefas de pesquisa não afetam o desempenho ou a disponibilidade da área de trabalho.
Os resultados da pesquisa são armazenados numa tabela com o nome com um _SRCH sufixo.
Esta imagem mostra critérios de pesquisa de exemplo para uma tarefa de pesquisa.
Restaurar dados de registo a partir da retenção de longo prazo
Quando precisar de fazer uma investigação completa sobre os dados de registo na retenção de longo prazo, restaure uma tabela a partir da página Pesquisa no Microsoft Sentinel. Especifique uma tabela de destino e um intervalo de tempo para os dados que pretende restaurar. Dentro de alguns minutos, os dados de registo são restaurados e disponíveis na área de trabalho do Log Analytics. Em seguida, pode utilizar os dados em consultas de alto desempenho que suportam KQL completo.
Uma tabela de registo restaurada está disponível numa nova tabela que tem um sufixo *_RST. Os dados restaurados estão disponíveis desde que os dados de origem subjacentes estiverem disponíveis. No entanto, pode eliminar tabelas restauradas em qualquer altura sem eliminar os dados de origem subjacentes. Para poupar custos, recomendamos que elimine a tabela restaurada quando já não precisar dela.
A imagem seguinte mostra a opção de restauro numa pesquisa guardada.
Limitações do restauro de registos
Veja Limitações de restauro na documentação do Azure Monitor.
Resultados da pesquisa de marcadores ou linhas de dados restauradas
Semelhante à investigação de ameaças dashboard, as linhas de marcadores que contêm informações que considera interessantes para que possa anexá-las a um incidente ou fazer referência às mesmas mais tarde. Para obter mais informações, consulte Criar marcadores.