Iniciar uma investigação procurando eventos em grandes conjuntos de dados

Uma das principais atividades de uma equipe de segurança é pesquisar logs de eventos específicos. Por exemplo, você pode pesquisar logs das atividades de um usuário específico em determinado período.

No Microsoft Sentinel, você pode pesquisar conjuntos de dados extremamente grandes em longos períodos usando um trabalho de pesquisa. Embora seja possível executar um trabalho de pesquisa em qualquer tipo de log, os trabalhos de pesquisa são ideais para pesquisar logs em um estado de retenção de longo prazo (anteriormente conhecido como camada de arquivos). Se você precisar fazer uma investigação completa sobre esses dados, poderá restaurar esses dados em um estado de retenção interativo, como seu tabelas regulares do Log Analytics, para executar consultas de alto desempenho e análises mais profundas.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pesquisar grandes conjuntos de dados

Use um trabalho de pesquisa ao iniciar uma investigação para localizar eventos específicos em logs em determinado período. Você pode pesquisar todos os logs para localizar os eventos que correspondem aos critérios e filtrar pelos resultados.

A pesquisa no Microsoft Sentinel foi criada sobre os trabalhos de pesquisa. Os trabalhos de pesquisa são consultas assíncronas que buscam registros. Os resultados são retornados para uma tabela de pesquisa criada no workspace do Log Analytics, depois que você inicia o trabalho de pesquisa. O trabalho de pesquisa usa o processamento paralelo para executar a pesquisa conjuntos de dados extremamente grandes em longos intervalos de tempo. Portanto, os trabalhos de pesquisa não afetam o desempenho ou a disponibilidade do workspace.

Os resultados da pesquisa são armazenados em uma tabela nomeada com um sufixo _SRCH.

A imagem a seguir mostra os critérios de pesquisa de exemplo para um trabalho de pesquisa.

Captura de tela da página de pesquisa com critérios de pesquisa de administrador, intervalo de tempo do último ano e uma tabela selecionada.

Tipos de log com suporte

Use a pesquisa para localizar eventos em qualquer um dos seguintes tipos de log:

Você também pode pesquisar dados de log básicos ou de análise armazenados em retenção de longo prazo.

Limitações de um trabalho de pesquisa

Antes de iniciar um trabalho de pesquisa, lembre-se das seguintes limitações:

  • Otimizado para consultar uma tabela de cada vez.
  • O intervalo de datas da pesquisa é de até sete anos.
  • Dá suporte a pesquisas de execução prolongada com um tempo limite de até 24 horas.
  • Os resultados são limitados a 1 milhão de registros no conjunto de registros.
  • A execução paralela por usuário é limitada a cinco trabalhos de pesquisa por workspace.
  • Limite de 100 tabelas de resultados de pesquisa por workspace.
  • Limite de 100 execuções de trabalhos de pesquisa por dia por workspace.

No momento, os trabalhos de pesquisa não têm suporte nos seguintes espaços de trabalho:

  • Espaços de trabalho habilitados por chave gerenciada pelo cliente
  • Espaços de trabalho na região Leste da China 2

Para saber mais, confira Trabalho de pesquisa no Azure Monitor na documentação do Azure Monitor.

Restaurar dados históricos de logs arquivados

Quando você precisar fazer uma investigação completa sobre os dados armazenados em logs arquivados, restaure uma tabela na página Pesquisa no Microsoft Sentinel. Especifique uma tabela de destino e um intervalo de tempo para os dados que você deseja restaurar. Em alguns minutos, os dados de log são restaurados e estarão disponíveis no workspace do Log Analytics. Em seguida, você poderá usar os dados em consultas de alto desempenho que dão suporte a KQL completo.

Uma tabela de log restaurada fica disponível em uma nova tabela que tem o sufixo *_RST. Os dados restaurados ficam disponíveis, contanto que os dados de origem subjacentes estejam disponíveis. Mas você pode excluir as tabelas restauradas a qualquer momento, sem excluir os dados de origem subjacentes. Para economizar custos, recomendamos que você exclua a tabela restaurada quando não precisar mais dela.

A imagem a seguir mostra a opção de restauração em uma pesquisa salva.

Captura de tela do link de restauração em uma pesquisa salva.

Limitações da restauração de log

Antes de começar a restaurar uma tabela de log arquivado, lembre-se das seguintes limitações:

  • Restaurar dados por um mínimo de dois dias.
  • Restaurar dados com mais de 14 dias.
  • Restaurar até 60 TB.
  • A restauração é limitada a uma restauração ativa por tabela.
  • Restaurar até quatro tabelas arquivadas por workspace por semana.
  • Limite de dois trabalhos de restauração simultâneos por workspace.

Para saber mais, confira Restaurar logs no Azure Monitor.

Marcar resultados da pesquisa ou linhas de dados restauradas

Semelhante ao painel de busca de ameaças, marque as linhas que contêm informações que você considera interessantes para que você possa anexá-las a um incidente ou consultá-las posteriormente. Para obter mais informações, confira Criar indicadores.

Próximas etapas