Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Stellen Sie Daten aus einem archivierten Protokoll wieder her, um sie in leistungsstarken Abfragen und Analysen zu verwenden.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Voraussetzungen
Bevor Sie Daten in einem archivierten Protokoll wiederherstellen, lesen Sie Datenwiederherstellung in Azure Monitor.
Wiederherstellen von Daten aus archivierten Protokollen
Geben Sie zum Wiederherstellen von Daten aus archivierten Protokollen in Microsoft Sentinel die Tabelle und den Zeitbereich für die Daten an, die Sie wiederherstellen möchten. Innerhalb weniger Minuten sind die Protokolldaten im Log Analytics-Arbeitsbereich verfügbar. Anschließend können Sie die Daten in Hochleistungsabfragen verwenden, die das vollständige Kusto-Abfragesprache (KQL) verwenden.
Sie können archivierte Daten direkt über die Seite Suche oder aus einer gespeicherten Suche wiederherstellen.
Im Defender-Portal finden Sie diese Seite auf der Microsoft Sentinel-Stammebene. Wählen Sie in Microsoft Sentinel Suchen aus. Im Azure-Portal finden Sie diese Seite unter Allgemein.
Stellen Sie Protokolldaten mithilfe einer der folgenden Methoden wieder her:
Wählen Sie oben auf der Seite
Wiederherstellen aus. Wählen Sie im Bereich Wiederherstellung auf der Seite die Tabelle und den Zeitbereich aus, den Sie wiederherstellen möchten, und wählen Sie dann unten im Bereich Wiederherstellen aus.Wählen Sie Gespeicherte Suchvorgänge aus, suchen Sie die Suchergebnisse, die Sie wiederherstellen möchten, und wählen Sie dann Wiederherstellen aus. Wenn Sie über mehrere Tabellen verfügen, wählen Sie die aus, die Sie wiederherstellen möchten, und wählen Sie dann im Seitenbereich Aktionen > Wiederherstellen aus. Zum Beispiel:
Warten Sie, bis die Protokolldaten wiederhergestellt wurden. Zeigen Sie den Status Ihres Wiederherstellungsauftrags durch Auswahl auf der Registerkarte Wiederherstellung an.
Anzeigen wiederhergestellter Protokolldaten
Zeigen Sie den Status und die Ergebnisse der Protokolldatenwiederherstellung an, indem Sie zur Registerkarte Wiederherstellung wechseln. Sie können die wiederhergestellten Daten anzeigen, wenn als Status des Wiederherstellungsauftrags Daten verfügbar angezeigt wird.
Wählen Sie in Microsoft Sentinel die Option Wiederherstellung>suchenaus.
Wenn der Wiederherstellungsauftrag abgeschlossen ist und der Status aktualisiert wurde, wählen Sie den Tabellennamen aus und überprüfen die Ergebnisse.
Im Azure-Portal werden die Ergebnisse auf der Abfrageseite Protokolle angezeigt. Im Defender-Portal werden die Ergebnisse auf der Seite Erweiterte Bedrohungssuche angezeigt.
Zum Beispiel:
Der Zeitbereich ist auf einen benutzerdefinierten Zeitbereich festgelegt, der die Start- und Endzeiten der wiederhergestellten Daten verwendet.
Löschen wiederhergestellter Datentabellen
Um Kosten zu sparen, empfiehlt es sich, die wiederhergestellte Tabelle zu löschen, wenn sie nicht mehr benötigt wird. Wenn Sie eine wiederhergestellte Tabelle löschen, werden die zugrunde liegenden Quelldaten nicht gelöscht.
Wählen Sie in Microsoft Sentinel die Option Suchen>Wiederherstellung aus, und ermitteln Sie die Tabelle, die Sie löschen möchten.
Wählen Sie Löschen für diese Tabellenzeile aus, um die wiederhergestellte Tabelle zu löschen.