高パフォーマンスのクエリと分析で使用するために、アーカイブ済みログからデータを復元します。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
前提条件
アーカイブ済みログのデータを復元する前に、大規模なデータセットの検索による調査の開始 (プレビュー) およびAzure Monitor での復元に関する記事を参照してください。
アーカイブ済みログのデータを復元する
Microsoft Sentinel のアーカイブ済みログのデータを復元するには、復元するデータのテーブルと時間範囲を指定します。 数分以内に、Log Analytics ワークスペース内でログ データを使用できるようになります。 その後、完全な Kusto 照会言語 (KQL) をサポートする高パフォーマンスのクエリでそのデータを使用できます。
アーカイブされたデータを、[検索] ページまたは保存した検索から直接復元します。
Defender ポータルでは、このページは Microsoft Sentinel のルート レベルにあります。 Microsoft Sentinel で、[検索] を選択します。 Azure portalでは、このページは [全般] の下に表示されます。
次のいずれかの方法を使用してログ データを復元します。
ページの上部にある
[復元] を選択します。 横にある [復元] ペインで、復元するテーブルと時間の範囲を選択し、ペインの下部にある [復元] を選択します。[保存された検索] を選択し、復元する検索結果を見つけて、[復元] を選択します。 複数のテーブルがある場合は、復元するテーブルを選択し、横のペインで [アクション] > [復元] を選択します。 次に例を示します。
ログ データが復元されるまで待ちます。 復元ジョブの状態を表示するには、[復元] タブを選択します。
復元されたログ データを表示する
[復元] タブに移動して、ログ データの復元の状態と結果を確認します。復元ジョブの状態に [データを使用可能] と表示されている場合は、復元されたデータを表示できます。
Microsoft Sentinel で、[検索]>[復元] を選択します。
復元ジョブが完了し、状態が更新されたら、テーブル名を選択して結果を確認します。
Azure portalの [ログ] クエリ ページに結果が表示されます。 Defender ポータルで、結果が [高度な追求] ページに表示されます。
次に例を示します。
[時間範囲] は、復元されたデータの開始時刻と終了時刻を使用してカスタムの時間範囲に設定されます。
復元されたデータのテーブルを削除する
コストを節約するために、復元されたテーブルが不要になったときに削除することをお勧めします。 復元されたテーブルを削除しても、基になるソース データは削除されません。
Microsoft Sentinel で [検索]>[復元] を選択し、削除するテーブルを特定します。
そのテーブル行の [削除] を選択して、復元されたテーブルを削除します。