セキュリティ チームの主要なアクティビティの 1 つは、特定のイベントのログを検索することです。 たとえば、所与の期間における特定のユーザーのアクティビティのログを検索できます。
Microsoft Sentinel では、検索ジョブを使用して、非常に大規模なデータセットについて、長い期間にわたって検索できます。 検索ジョブは任意の種類のログで実行できますが、検索ジョブは、長期保持 (旧称「アーカイブ」) 状態のログを検索するのに最適です。 このようなデータを完全に調査する必要がある場合は、そのデータを通常の Log Analytics テーブルなどの対話型の保持状態に復元すると、高パフォーマンスのクエリや、より詳細な分析を実行できます。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
大規模なデータ セットの検索
特定期間のログに対して特定のイベントを見つけるための調査を開始するときに、検索ジョブを使用します。 すべてのログを検索して、条件に一致するイベントを検索し、結果をフィルター処理できます。
Microsoft Sentinel での検索は、検索ジョブの上に構築されています。 検索ジョブは、レコードをフェッチする非同期クエリです。 検索ジョブを開始した後、Log Analytics ワークスペースに作成された検索テーブルに結果が返されます。 検索ジョブでは、非常に大規模なデータセットで、長い期間にわたる検索を並列処理で実行します。 そのため、検索ジョブがワークスペースのパフォーマンスや可用性に影響を与えることはありません。
検索結果は、_SRCH サフィックスを持つ名前のテーブルに格納されます。
次の図は、検索ジョブの検索条件の例を示しています。
サポートされるログの種類
検索を使用して、次のいずれかのログの種類のイベントを検索します。
また、長期保有に保存されている分析または基本ログ データも検索できます。
検索ジョブの制限事項
Azure Monitor ドキュメントの 検索ジョブの制限事項 を参照してください。
長期保存データからログを復元する
長期的なリテンション期間のログ データに関する完全な調査を行う必要がある場合は、Microsoft Sentinel の [検索 ] ページからテーブルを復元します。 復元するデータのターゲット テーブルと時間の範囲を指定します。 数分以内に、ログ データが復元され、Log Analytics ワークスペース内で使用できるようになります。 その後、完全な KQL をサポートする高パフォーマンスのクエリでそのデータを使用できます。
復元されたログ テーブルは、*_RST サフィックスが付いた新しいテーブルで使用できます。 基になるソース データが使用可能である限り、復元されたデータを使用できます。 ただし、復元されたテーブルは、基になるソース データを削除せずにいつでも削除できます。 コストを節約するために、復元されたテーブルが不要になったときに削除することをお勧めします。
次の図は、保存された検索の復元オプションを示しています。
ログ復元の制限事項
Azure Monitor のドキュメントの 「復元の制限事項 」を参照してください。
検索結果または復元されたデータ行をブックマークする
脅威ハンティング ダッシュボードと同様に、興味深いと思う情報を含む行をブックマークして、インシデントに添付したり、後で参照したりすることができます。 詳細については、ブックマークの作成に関するページを参照してください。