Open in app

Sign in

Write

Sign in

使用MS Sentinel 的Search jobs

在 Microsoft Sentinel 中,我們可以使用搜尋作業(search job)在大型資料集中的長時間段內進行搜尋。也可以選擇還原存檔日誌( archived logs)以將其包含在搜尋作業中。

如果我們在組織中發現了一個新的IoC(indicator of Compromise)指標,需要調查之前是否在日誌中出現過。需要還原存檔日誌並執行搜尋作業以發現 IoC 的先前實例。

搜尋作業的搜尋(Hunt)

安全團隊的主要活動之一是搜尋日誌中的特定事件。例如,可以在日誌中搜尋特定使用者在特定時間範圍內的活動。

在 Microsoft Sentinel 中,可以使用搜尋作業在大型資料集中的長時間段內進行搜尋。雖然可以對任何類型的日誌執行搜尋作業,但搜尋作業非常適合搜尋歸檔日誌。如果需要對歸檔資料進行全面調查,可以將該資料還原到hot cache中以執行高效能查詢和分析。

資料集

當開始調查以查找特定時間範圍內日誌中的特定事件時,請使用搜尋作業。我們可以搜尋所有日誌以尋找符合我們條件的事件並篩選結果。

Microsoft Sentinel 中的搜尋是建構在搜尋作業之上。搜尋作業是取得記錄的非同步查詢。啟動搜尋作業後,結果將返回到在 Log Analytics 工作區中建立的搜尋表(search table)。搜尋作業使用平行處理在大型資料集中跨長時間跨度執行搜尋。因此,搜尋作業不會影響工作區的效能或可用性。

搜尋結果保留在帶有 *_SRCH suffix的搜尋結果表中。

使用搜尋在以下任何日誌類型中尋找事件:

  • Analytics logs
  • Basic logs

限制

在開始搜尋作業之前,請注意以下限制:

  • 優化為一次查詢一個table。
  • 搜尋日期範圍最長為一年。
  • 支援長時間運行搜索,最長可達 24 小時才會timeout。
  • 結果僅限於record set中的一百萬筆記錄。
  • 每個工作區的平行運作僅限於五個搜尋作業。
  • 每個工作區僅限 100 個search results tables。
  • 每個工作區每天最多執行 100 個搜尋作業。

開始一個搜尋作業

  1. In the Azure portal, go to Microsoft Sentinel and select the appropriate workspace.
  2. Under General, select Search
  3. In the Search box, enter the search term.
  4. Select the appropriate Time range.
  5. Select the Table that you want to search.
  6. When you’re ready to start the search job, select Search.
  7. When the search job starts, a notification and the job status show on the search page.
  8. Wait for your search job to complete.
    根據資料集和搜尋條件,搜尋作業可能需要幾分鐘或長達 24 小時才能完成。如果搜尋作業花費的時間超過 24 小時,則會逾時。如果發生這種情況,需要優化搜尋條件並重試。

檢視search job results

前往「Saved Searches」業籤以查看搜尋作業的狀態和結果。

  1. 在 Microsoft Sentinel 工作區中,選擇Search > Saved Searches。
  2. 在search card上,選擇 View search results。
  3. 預設情況下,會看到與原始搜尋條件相符的所有結果。在搜尋查詢中,請注意引用的time columns。
  • TimeGenerator 是將資料引入search table的日期和時間
  • _OriginalTimeGenerated 是建立記錄的日期和時間

4. 若要最佳化從搜尋表傳回的結果清單,請編輯 KQL 查詢。

5. 當查看搜尋作業結果時,請為包含我們想要的資訊的行添加bookmark,以便可以將它們附加到事故或稍後引用它們。

回復歷史資料

當需要對歸檔日誌中儲存的資料進行全面調查時,請從 Microsoft Sentinel 中的搜尋頁面還原該table。指定要復原的資料的目標table和時間範圍。幾分鐘之內,日誌資料就會恢復並在 Log Analytics 工作區中可用。然後,可以在支援完整 KQL 查詢中使用資料。

已復原的日誌表可在具有 *_RST suffix的new table中使用。只要底層來源資料可用,復原的資料就可用。但可以隨時刪除已復原的table,而無需刪除基礎來源資料。為了節省成本,建議在不再需要恢復的table時將其刪除。

限制

在開始復原歸檔log table之前,請注意以下限制:

  • 恢復資料至少兩天。
  • 恢復超過 14 天的資料。
  • 恢復最多達 60 TB。
  • 恢復僅限於每個table一次活動恢復。
  • 每個工作區每週最多恢復四個archived tables。
  • 每個工作區僅限兩個平行恢復作業。

回復archived log data

若要在 Microsoft Sentinel 中還原archived log data,指定要復原的資料的table和時間區間。幾分鐘之內,日誌資料就可以在 Log Analytics 工作區中使用。然後,您可以在支援完整 KQL 的高效能查詢中使用資料。

可以直接從搜尋頁面或儲存的搜尋還原歸檔資料。

  1. 在 Azure 網站中,前往 Microsoft Sentinel 並選擇適當的工作區。
  2. 在General下,選擇Search。
  3. 透過以下兩種方式之一還原日誌資料:
  • 在“Search”頁面頂部,選擇“Restore”,或
  • 選擇“Saved Searches”頁籤並在相應的搜尋上恢復。

4. 選擇要恢復的table。

5. 選擇要復原的資料的時間範圍。

6. 選擇Restore。

7. 等待日誌資料恢復。透過選擇「Restoration」頁籤來查看恢復作業的狀態。

檢視已回復的log data

前往「Restoration」頁籤查看日誌資料復原的狀態和結果。當恢復作業的狀態顯示「Data Available」時,檢視復原的資料。

  1. 在 Microsoft Sentinel 工作區中,選擇Search > Restoration。
  2. 恢復作業完成後,選擇table name。
  3. 檢視結果。

Logs query pane顯示包含已復原資料的資料表的名稱。時間範圍設定為使用復原資料的開始和結束時間的自訂時間範圍。

資安

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

405 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams