Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma das principais atividades de uma equipe de segurança é pesquisar logs de eventos específicos. Por exemplo, você pode pesquisar logs das atividades de um usuário específico em determinado período.
No Microsoft Sentinel, você pode pesquisar conjuntos de dados extremamente grandes em longos períodos usando um trabalho de pesquisa. Embora seja possível executar um trabalho de pesquisa em qualquer tipo de log, os trabalhos de pesquisa são ideais para pesquisar logs em um estado de retenção de longo prazo (anteriormente conhecido como camada de arquivos). Se você precisar fazer uma investigação completa sobre esses dados, poderá restaurar esses dados em um estado de retenção interativo, como seu tabelas regulares do Log Analytics, para executar consultas de alto desempenho e análises mais profundas.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para maior obter segurança.
Pesquisar grandes conjuntos de dados
Use um trabalho de pesquisa para recuperar dados armazenados na retenção de longo prazo ou para examinar grandes volumes de dados, se o tempo limite de 10 minutos da consulta de log não for suficiente. Trabalhos de pesquisa são consultas assíncronas que buscam registros em uma tabela de pesquisa em seu workspace do Log Analytics. O trabalho de pesquisa usa o processamento paralelo para pesquisar em longos períodos de tempo em conjuntos de dados extremamente grandes, portanto, trabalhos de pesquisa não afetam o desempenho ou a disponibilidade do workspace.
Os resultados da pesquisa são armazenados em uma tabela nomeada com um sufixo _SRCH.
Esta imagem mostra critérios de pesquisa de exemplo para uma tarefa de busca.
Restaurar dados de log da retenção de longo prazo
Quando você precisar fazer uma investigação completa sobre os dados de log na retenção de longo prazo, restaure uma tabela da página Pesquisa no Microsoft Sentinel. Especifique uma tabela de destino e um intervalo de tempo para os dados que você deseja restaurar. Em alguns minutos, os dados de log são restaurados e estarão disponíveis no workspace do Log Analytics. Em seguida, você poderá usar os dados em consultas de alto desempenho que dão suporte a KQL completo.
Uma tabela de log restaurada fica disponível em uma nova tabela que tem um sufixo *_RST. Os dados restaurados ficam disponíveis, contanto que os dados de origem subjacentes estejam disponíveis. Mas você pode excluir as tabelas restauradas a qualquer momento, sem excluir os dados de origem subjacentes. Para economizar custos, recomendamos que você exclua a tabela restaurada quando não precisar mais dela.
A imagem a seguir mostra a opção de restauração em uma pesquisa salva.
Limitações da restauração de log
Confira as limitações de restauração na documentação do Azure Monitor.
Marcar resultados da pesquisa ou linhas de dados restauradas
Semelhante ao painel de busca de ameaças, marque as linhas que contêm informações que você considera interessantes para que você possa anexá-las a um incidente ou consultá-las posteriormente. Para obter mais informações, confira Criar indicadores.