セキュリティ チームの主要なアクティビティの 1 つは、特定のイベントのログを検索することです。 たとえば、所与の期間における特定のユーザーのアクティビティのログを検索できます。
Microsoft Sentinel では、検索ジョブを使用して、非常に大規模なデータセットについて、長い期間にわたって検索できます。 検索ジョブは任意の種類のログで実行できますが、検索ジョブは、長期保持 (旧称「アーカイブ」) 状態のログを検索するのに最適です。 このようなデータを完全に調査する必要がある場合は、そのデータを通常の Log Analytics テーブルなどの対話型の保持状態に復元すると、高パフォーマンスのクエリや、より詳細な分析を実行できます。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
大規模なデータ セットの検索
ログ クエリのタイムアウトが 10 分で十分でない場合は、検索ジョブを使用して 長期保有期間に格納されているデータを取得するか、大量のデータをスキャンします。 検索ジョブは、Log Analytics ワークスペース内の検索テーブルにレコードをフェッチする非同期クエリです。 検索ジョブは並列処理を使用して、非常に大規模なデータセット内の長い期間にわたって検索するため、検索ジョブはワークスペースのパフォーマンスや可用性に影響しません。
検索結果は、_SRCH サフィックスを持つ名前のテーブルに格納されます。
この画像は、検索ジョブの検索条件の例を示しています。
長期保存データからログを復元する
長期的なリテンション期間のログ データに関する完全な調査を行う必要がある場合は、Microsoft Sentinel の [検索 ] ページからテーブルを復元します。 復元するデータのターゲット テーブルと時間の範囲を指定します。 数分以内に、ログ データが復元され、Log Analytics ワークスペース内で使用できるようになります。 その後、完全な KQL をサポートする高パフォーマンスのクエリでそのデータを使用できます。
復元されたログ テーブルは、*_RST サフィックスが付いた新しいテーブルで使用できます。 基になるソース データが使用可能である限り、復元されたデータを使用できます。 ただし、復元されたテーブルは、基になるソース データを削除せずにいつでも削除できます。 コストを節約するために、復元されたテーブルが不要になったときに削除することをお勧めします。
次の図は、保存された検索の復元オプションを示しています。
ログ復元の制限事項
Azure Monitor のドキュメントの 「復元の制限事項 」を参照してください。
検索結果または復元されたデータ行をブックマークする
脅威ハンティング ダッシュボードと同様に、興味深いと思う情報を含む行をブックマークして、インシデントに添付したり、後で参照したりすることができます。 詳細については、ブックマークの作成に関するページを参照してください。