Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Uma das principais atividades de uma equipe de segurança é pesquisar logs para eventos específicos. Por exemplo, você pode pesquisar logs para as atividades de um usuário específico dentro de um determinado período de tempo.
No Microsoft Sentinel, você pode pesquisar em longos períodos de tempo em conjuntos de dados extremamente grandes usando um trabalho de pesquisa. Embora você possa executar um trabalho de pesquisa em qualquer tipo de log, os trabalhos de pesquisa são ideais para pesquisar logs em um estado de retenção de longo prazo (anteriormente conhecido como arquivamento). Se precisar fazer uma investigação completa desses dados, você pode restaurá-los em um estado de retenção interativo, como suas tabelas regulares do Log Analytics, para executar consultas de alto desempenho e análises mais profundas.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Pesquisar grandes conjuntos de dados
Use um trabalho de pesquisa para recuperar dados armazenados na retenção de longo prazo ou para examinar grandes volumes de dados, se o tempo limite de consulta de log de 10 minutos não for suficiente. Os trabalhos de pesquisa são consultas assíncronas que buscam registros em uma tabela de pesquisa no espaço de trabalho do Log Analytics. O trabalho de pesquisa usa processamento paralelo para pesquisar em períodos de tempo longos em conjuntos de dados extremamente grandes, para que os trabalhos de pesquisa não afetem o desempenho ou a disponibilidade do espaço de trabalho.
Os resultados da pesquisa são armazenados em uma tabela nomeada com um sufixo _SRCH .
Esta imagem mostra exemplos de critérios de pesquisa para uma vaga de pesquisa.
Restaurar dados de log a partir da retenção de longo prazo
Quando precisar realizar uma investigação completa sobre os dados de log em retenção de longo prazo, restaure uma tabela a partir da página Pesquisar no Microsoft Sentinel. Especifique uma tabela de destino e um intervalo de tempo para os dados que você deseja restaurar. Em poucos minutos, os dados de log são restaurados e ficam disponíveis no espaço de trabalho do Log Analytics. Em seguida, você pode usar os dados em consultas de alto desempenho que suportam KQL completo.
Uma tabela de log restaurada está disponível em uma nova tabela que tem um sufixo *_RST. Os dados restaurados estão disponíveis desde que os dados de origem subjacentes estejam disponíveis. Mas você pode excluir tabelas restauradas a qualquer momento sem excluir os dados de origem subjacentes. Para economizar custos, recomendamos que você exclua a tabela restaurada quando não precisar mais dela.
A imagem a seguir mostra a opção de restauração em uma pesquisa salva.
Limitações da restauração de log
Consulte Limitações de restauração na documentação do Azure Monitor.
Marcar resultados de pesquisa ou linhas de dados restauradas
Semelhante ao painel de caça a ameaças, marque linhas que contêm informações que você considera interessantes para que você possa anexá-las a um incidente ou consultá-las mais tarde. Para obter mais informações, consulte Criar marcadores.