大規模なデータセット内のイベントを検索して調査を開始する

セキュリティ チームの主要なアクティビティの 1 つは、特定のイベントのログを検索することです。 たとえば、所与の期間における特定のユーザーのアクティビティのログを検索できます。

Microsoft Sentinel では、検索ジョブを使用して、非常に大規模なデータセットについて、長い期間にわたって検索できます。 検索ジョブは任意の種類のログで実行できますが、検索ジョブは、長期保持 (旧称「アーカイブ」) 状態のログを検索するのに最適です。 このようなデータを完全に調査する必要がある場合は、そのデータを通常の Log Analytics テーブルなどの対話型の保持状態に復元すると、高パフォーマンスのクエリや、より詳細な分析を実行できます。

重要

Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されました。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

大規模なデータ セットの検索

特定期間のログに対して特定のイベントを見つけるための調査を開始するときに、検索ジョブを使用します。 すべてのログを検索して、条件に一致するイベントを検索し、結果をフィルター処理できます。

Microsoft Sentinel での検索は、検索ジョブの上に構築されています。 検索ジョブは、レコードをフェッチする非同期クエリです。 検索ジョブを開始した後、Log Analytics ワークスペースに作成された検索テーブルに結果が返されます。 検索ジョブでは、非常に大規模なデータセットで、長い期間にわたる検索を並列処理で実行します。 そのため、検索ジョブがワークスペースのパフォーマンスや可用性に影響を与えることはありません。

検索結果は、_SRCH サフィックスを持つ名前のテーブルに格納されます。

次の図は、検索ジョブの検索条件の例を示しています。

検索条件として管理者、過去 1 年の期間、さらにテーブルが選択された検索ページのスクリーンショット。

サポートされるログの種類

検索を使用して、次のいずれかのログの種類のイベントを検索します。

また、長期保有に保存されている分析または基本ログ データも検索できます。

検索ジョブの制限事項

検索ジョブを開始する前に、次の制限事項に注意してください。

  • 一度に 1 つのテーブルに対してクエリを実行するように最適化されています。
  • 検索の日付範囲は最長 7 年です。
  • 実行時間の長い検索は、最長 24 時間でタイムアウトするまでサポートされます。
  • レコード セット内の結果は、100 万レコードに制限されます。
  • ユーザーごとの同時実行は、ワークスペースごとに 5 つの検索ジョブまでに制限されます。
  • ワークスペースあたり 100 個の検索結果テーブルに制限されます。
  • 1 つのワークスペースで 1 日に実行できる検索ジョブは 100 回までに制限されます。

現在、ジョブの検索は次のワークスペースではサポートされていません。

  • カスタマー マネージド キーが有効なワークスペース
  • 中国東部 2 リージョンのワークスペース。

詳細については、Azure Monitor ドキュメントの Azure Monitor の検索ジョブに関するページを参照してください。

アーカイブされたログから履歴データを復元する

アーカイブ済みログに格納されているデータに対して完全な調査を行う必要がある場合は、Microsoft Sentinel の [検索] ページからテーブルを復元します。 復元するデータのターゲット テーブルと時間の範囲を指定します。 数分以内に、ログ データが復元され、Log Analytics ワークスペース内で使用できるようになります。 その後、完全な KQL をサポートする高パフォーマンスのクエリでそのデータを使用できます。

復元されたログ テーブルは、*_RST サフィックスが付いた新しいテーブルで使用できます。 基になるソース データが使用可能である限り、復元されたデータを使用できます。 ただし、復元されたテーブルは、基になるソース データを削除せずにいつでも削除できます。 コストを節約するために、復元されたテーブルが不要になったときに削除することをお勧めします。

次の図は、保存された検索の復元オプションを示しています。

保存された検索の復元リンクのスクリーンショット。

ログ復元の制限事項

アーカイブされたログ テーブルの復元を開始する前に、次の制限事項に注意してください。

  • 少なくとも 2 日間のデータを復元します。
  • 14 日以上前のデータを復元します。
  • 最大 60 TB 復元します。
  • 復元は、テーブルごとに 1 つのアクティブな復元に制限されます。
  • 1 週間にワークスペースごとに最大 4 つのアーカイブ 済みテーブルを復元します。
  • ワークスペースごとに 2 つの同時復元ジョブに制限されます。

詳細については、Azure Monitor でのログの復元に関するページを参照してください。

検索結果または復元されたデータ行をブックマークする

脅威ハンティング ダッシュボードと同様に、興味深いと思う情報を含む行をブックマークして、インシデントに添付したり、後で参照したりすることができます。 詳細については、ブックマークの作成に関するページを参照してください。

次のステップ