Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine der wichtigsten Aktivitäten eines Sicherheitsteams besteht im Durchsuchen von Protokollen nach bestimmten Ereignissen. Beispielsweise können Sie Protokolle nach den Aktivitäten eines bestimmten Benutzers innerhalb eines bestimmten Zeitrahmens durchsuchen.
In Microsoft Sentinel können Sie mithilfe eines Suchauftrags über lange Zeiträume hinweg extrem große Datasets durchsuchen. Sie können einen Suchauftrag zwar für jede Art von Protokoll ausführen, Suchaufträge eignen sich jedoch ideal zum Durchsuchen von Protokollen in einem langfristig aufbewahrten Zustand (früher als Archiv bezeichnet). Wenn Sie eine vollständige Untersuchung solcher Daten durchführen müssen, können Sie diese Daten in einen interaktiven Aufbewahrungszustand (wie reguläre Log Analytics-Tabellen) wiederherstellen, um leistungsstarke Abfragen und eine tiefere Analyse auszuführen.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Durchsuchen großer Datasets
Verwenden Sie einen Suchauftrag, um Daten abzurufen, die in langfristiger Aufbewahrung gespeichert sind, oder um große Datenmengen zu durchsuchen, wenn das Timeout der Protokollabfrage von 10 Minuten nicht ausreicht. Suchaufträge sind asynchrone Abfragen, die Datensätze in einer Suchtabelle in Ihrem Log Analytics-Arbeitsbereich abrufen. Der Suchauftrag verwendet parallele Verarbeitung, um über lange Zeiträume hinweg in extrem großen Datasets zu suchen, sodass Suchaufträge sich nicht auf die Leistung oder Verfügbarkeit des Arbeitsbereichs auswirken.
Suchergebnisse werden in einer Tabelle gespeichert, deren Name das Suffix _SRCH trägt.
Diese Abbildung zeigt Beispielsuchkriterien für einen Suchauftrag.
Wiederherstellen von Protokolldaten aus langfristiger Aufbewahrung
Wenn Sie eine vollständige Untersuchung zu Protokolldaten in langfristiger Aufbewahrung durchführen müssen, stellen Sie eine Tabelle von der Suchseite in Microsoft Sentinel wieder her. Geben Sie eine Zieltabelle und einen Zeitbereich für die Daten an, die Sie wiederherstellen möchten. Innerhalb weniger Minuten werden die Protokolldaten wiederhergestellt und sind im Log Analytics-Arbeitsbereich verfügbar. Anschließend können Sie die Daten in Hochleistungsabfragen verwenden, die die vollständige KQL unterstützen.
Eine wiederhergestellte Protokolltabelle ist in einer neuen Tabelle mit dem Suffix *_RST verfügbar. Die wiederhergestellten Daten sind verfügbar, solange die zugrunde liegenden Quelldaten verfügbar sind. Sie können wiederhergestellte Tabellen jedoch jederzeit löschen, ohne dass die zugrunde liegenden Quelldaten gelöscht werden. Um Kosten zu sparen, empfiehlt es sich, die wiederhergestellte Tabelle zu löschen, wenn sie nicht mehr benötigt wird.
Die folgende Abbildung zeigt die Wiederherstellungsoption für eine gespeicherte Suche.
Einschränkungen der Protokollwiederherstellung
Siehe "Wiederherstellungsbeschränkungen " in der Azure Monitor-Dokumentation.
Lesezeichen für Suchergebnisse oder wiederhergestellte Datenzeilen
Ähnlich wie beim Dashboard zur Bedrohungssuche werden Zeilen mit interessanten Informationen mit Lesezeichen markiert, damit Sie sie an einen Incident anfügen oder später darauf verweisen können. Weitere Informationen finden Sie unter Erstellen von Lesezeichen.