検索からアーカイブ済みログを復元する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

高パフォーマンスのクエリと分析で使用するために、アーカイブ済みログからデータを復元します。

重要

Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されました。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

前提条件

アーカイブ済みログのデータを復元する前に、大規模なデータセットの検索による調査の開始 (プレビュー) およびAzure Monitor での復元に関する記事を参照してください。

アーカイブ済みログのデータを復元する

Microsoft Sentinel のアーカイブ済みログのデータを復元するには、復元するデータのテーブルと時間範囲を指定します。 数分以内に、Log Analytics ワークスペース内でログ データを使用できるようになります。 その後、完全な Kusto 照会言語 (KQL) をサポートする高パフォーマンスのクエリでそのデータを使用できます。

アーカイブされたデータを、[検索] ページまたは保存した検索から直接復元します。

  1. Microsoft Sentinel で、[検索] を選択します。 Azure portalでは、このページは [全般] の下に表示されます。 Defender ポータルでは、このページは Microsoft Sentinel のルート レベルにあります。

  2. 次のいずれかの方法を使用してログ データを復元します。

    • ページの上部にある [復元] を選択します。 横にある [復元] ペインで、復元するテーブルと時間の範囲を選択し、ペインの下部にある [復元] を選択します。

    • [保存された検索] を選択し、復元する検索結果を見つけて、[復元] を選択します。 複数のテーブルがある場合は、復元するテーブルを選択し、横のペインで [アクション] > [復元] を選択します。 次に例を示します。

      特定のサイトの検索を復元している様子のスクリーンショット。

  3. ログ データが復元されるまで待ちます。 復元ジョブの状態を表示するには、[復元] タブを選択します。

復元されたログ データを表示する

[復元] タブに移動して、ログ データの復元の状態と結果を確認します。復元ジョブの状態に [データを使用可能] と表示されている場合は、復元されたデータを表示できます。

  1. Microsoft Sentinel で、[検索]>[復元] を選択します。

  2. 復元ジョブが完了し、状態が更新されたら、テーブル名を選択して結果を確認します。

    Azure portal[ログ] クエリ ページに結果が表示されます。 Defender ポータルで、結果が [高度な追求] ページに表示されます。

    次に例を示します。

    ログ クエリ ペインと復元されたテーブルの結果を示すスクリーンショット。

    [時間範囲] は、復元されたデータの開始時刻と終了時刻を使用してカスタムの時間範囲に設定されます。

復元されたデータのテーブルを削除する

コストを節約するために、復元されたテーブルが不要になったときに削除することをお勧めします。 復元されたテーブルを削除しても、基になるソース データは削除されません。

  1. Microsoft Sentinel で [検索]>[復元] を選択し、削除するテーブルを特定します。

  2. そのテーブル行の [削除] を選択して、復元されたテーブルを削除します。

次のステップ