대규모 데이터 세트에서 장기간 검색

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

조사를 시작할 때 검색 작업을 사용하여 로그에서 7년 이전까지의 특정 이벤트를 찾습니다. 분석, 기본 및 보관된 로그 플랜의 이벤트를 포함하여 모든 로그에서 이벤트를 검색할 수 있습니다. 이벤트를 필터링하고 조건과 일치하는 이벤트를 찾습니다.

Important

이제 Microsoft Sentinel이 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

검색 작업 시작

Azure Portal 또는 Microsoft Defender 포털에서 Microsoft Sentinel의 검색으로 이동하여 검색 조건을 입력합니다. 대상 데이터 세트의 크기에 따라 검색 시간이 달라집니다. 대부분의 검색 작업을 완료하는 데 몇 분 정도 걸리지만 최대 24시간 동안 실행되는 대규모 데이터 세트에 대한 검색도 지원됩니다.

  1. Azure Portal의 Microsoft Sentinel의 경우 일반 아래에서 검색을 선택합니다.
    Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>검색을 선택합니다.

  2. 테이블 메뉴를 선택하고 검색할 테이블을 선택합니다.

  3. 검색 상자에 검색 용어를 입력합니다.

  4. 시작을 선택하여 고급 KQL(Kusto 쿼리 언어) 편집기를 열고 설정된 시간 범위에 대한 결과의 미리 보기를 엽니다.

  5. 필요에 따라 KQL 쿼리를 변경하고 실행을 선택하여 검색 결과의 업데이트된 미리 보기를 가져옵니다.

    수정된 검색이 있는 KQL 편집기의 스크린샷

  6. 쿼리 및 검색 결과 미리 보기에 만족하면 줄임표 ...를 선택하고 검색 작업 모드를 전환합니다.

    검색 작업 모드에 대해 줄임표가 강조 표시된 수정된 검색이 있는 KQL 편집기의 스크린샷

  7. 적절한 시간 범위를 선택합니다.

  8. 편집기에서 빨간색 물결선으로 표시된 KQL 문제를 해결해야 합니다.

  9. 검색 작업을 시작할 준비가 되면 검색 작업을 선택합니다.

  10. 검색 작업 결과를 저장할 새 테이블 이름을 입력합니다.

  11. 검색 작업 실행을 선택합니다.

  12. 검색 작업 완료 알림을 기다렸다가 결과를 확인합니다.

검색 작업 결과 보기

저장된 검색 탭으로 이동하여 검색 작업의 상태 및 결과를 봅니다.

  1. Microsoft Sentinel에서 검색>저장된 검색을 선택합니다.

  2. 검색 카드에서 검색 결과 보기를 선택합니다.

    검색 작업 카드 아래쪽에서 검색 결과를 볼 수 있는 링크를 보여 주는 스크린샷

    기본적으로 원래 검색 조건과 일치하는 모든 결과가 표시됩니다.

  3. 검색 테이블에서 반환된 결과 목록을 구체화하려면 필터 추가를 선택합니다.

  4. 검색 작업 결과를 검토할 때 책갈피 추가를 선택하거나 책갈피 아이콘을 선택하여 행을 유지합니다. 책갈피를 추가하면 이벤트에 태그를 지정하고, 메모를 추가하고, 이러한 이벤트를 인시던트에 첨부하여 나중에 참조할 수 있습니다.

    책갈피를 추가 중인 검색 작업 결과를 보여 주는 스크린샷

  5. 단추를 선택하고 결과 보기에 추가할 열 옆에 있는 확인란을 선택합니다.

  6. ‘책갈피가 지정됨’ 필터를 추가하여 보존된 항목만 표시합니다.

  7. 모든 책갈피 보기를 선택하여 기존 인시던트에 책갈피를 추가할 수 있는 헌팅 페이지로 이동합니다.

다음 단계

자세히 알아보려면 다음 문서를 참조하세요.