Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’une des activités principales d’une équipe de sécurité consiste à rechercher des événements spécifiques dans les journaux. Par exemple, vous pouvez rechercher dans les journaux les activités d’un utilisateur spécifique dans un laps de temps donné.
Dans Microsoft Sentinel, vous pouvez faire des recherches sur des périodes longues dans des jeux de données extrêmement volumineux à l’aide d’une tâche de recherche. Bien que vous puissiez exécuter une tâche de recherche sur n’importe quel type de journal, les tâches de recherche sont idéalement adaptées aux recherches de journaux dans un état de conservation à long terme (anciennement appelé archive). Si vous avez besoin d’effectuer une enquête complète sur ces données, vous pouvez restaurer ces données dans un état de conservation des données interactif (comme vos tables Log Analytics ordinaires) pour exécuter des requêtes de haute performance et effectuer une analyse plus approfondie.
Important
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.
À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.
Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez C'est le moment de déménager : le retrait du portail Azure de Microsoft Sentinel pour une plus grande sécurité.
Rechercher dans des jeux de données volumineux
Utilisez un job de recherche pour récupérer les données stockées dans une rétention à long terme et pour analyser de grands volumes de données, si le délai d'expiration de 10 minutes de la requête de journal n'est pas suffisant. Les travaux de recherche sont des requêtes asynchrones qui extraient des enregistrements dans une table de recherche dans votre espace de travail Log Analytics. Le travail de recherche utilise le traitement parallèle pour effectuer une recherche dans des intervalles de temps longs dans des jeux de données extrêmement volumineux, de sorte que les travaux de recherche n’ont pas d’impact sur les performances ou la disponibilité de l’espace de travail.
Les résultats de la recherche sont stockés dans une table avec le suffixe _SRCH.
Cette image montre des exemples de critères de recherche pour un travail de recherche.
Restaurer des données de journaux à partir de la conservation à long terme
Lorsque vous devez effectuer une investigation complète sur les données de journaux en conservation à long terme, restaurez une table à partir de la page Recherche dans Microsoft Sentinel. Spécifiez une table cible et un intervalle de temps pour les données que vous souhaitez restaurer. Au bout de quelques minutes, les données du journal sont restaurées et disponibles dans l’espace de travail Log Analytics. Vous pouvez ensuite utiliser les données dans des requêtes à hautes performances qui prennent en charge la KQL complète.
Une table de journal restaurée est disponible dans une nouvelle table qui a un suffixe * _RST. Les données restaurées sont disponibles tant que les données sources sous-jacentes sont disponibles. Toutefois, vous pouvez supprimer les tables restaurées à tout moment sans supprimer les données sources sous-jacentes. Pour réduire les coûts, nous vous recommandons de supprimer la table restaurée lorsque vous n’en avez plus besoin.
L’image suivante montre l’option de restauration pour une recherche enregistrée.
Limites de la restauration des journaux
Consultez les limitations de restauration dans la documentation Azure Monitor.
Résultats de la recherche de signets ou lignes de données restaurées
Comme avec le tableau de bord de chasse aux menaces, ajoutez un signet sur les rangées qui contiennent des informations que vous jugez intéressantes afin de les relier à un incident ou de vous y référer ultérieurement. Pour plus d’informations, consultez Créer des signets.