Microsoft Sentinel で大規模なデータセット間で特定のイベントを検索する

ログ クエリのタイムアウトが 10 分で十分でない場合は、検索ジョブを使用して 長期保有期間に格納されているデータを取得するか、大量のデータをスキャンします。 検索ジョブは、テーブル内の最大 1 年間のデータをスキャンして、特定のイベントを検索します。 検索ジョブは、その結果をソース データと同じワークスペース内の新しい Analytics テーブルに送信します。

この記事では、Microsoft Sentinel で検索ジョブを実行する方法と、検索ジョブの結果を操作する方法について説明します。

特定のデータ セットに対する検索ジョブで、追加料金が発生する場合があります。 詳細については、Microsoft Sentinel の価格ページを参照してください。

実装の考慮事項

Azure Monitor ドキュメントの 検索ジョブに関する考慮事項 を参照してください。

検索ジョブを開始する

Azure portal または Microsoft Defender ポータルから Microsoft Sentinel の [検索] に移動し、検索条件を入力します。 ターゲット データセットのサイズに応じて検索時間は変わります。 ほとんどの検索ジョブは数分で完了しますが、最長で 24 時間かかる大規模なデータ セットの検索もサポートされています。

1. Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[検索] を選択します。 Azure portal の Microsoft Sentinel の場合、[全般] の下にある [検索] を選択します。

2. [テーブル] メニューを選び、検索対象のテーブルを選びます。

3. [検索] ボックスに検索用語を入力します。

   • Defender ポータル
   • Azure Portal

   

4. [スタート] を選択して、単純モードで設定された時間範囲の結果をプレビューします。 必要に応じて、ドロップダウン メニューに移動し、 簡易モード から KQL モード に切り替えて、高度な Kusto クエリ言語 (KQL) エディターを開きます。

5. 必要に応じて KQL クエリを変更し、[実行] を選択して、検索結果の更新されたプレビューを取得します。 エディター内の赤い波線で示された KQL の問題を解決します。

   

6. クエリと検索結果のプレビューに問題がなければ、省略記号 ... を選択し、[ 検索ジョブ ] を選択して [ 検索ジョブ モード ] ウィンドウを開きます。

   

7. 時間範囲セレクターを使用して、検索ジョブの日付範囲を指定します。 クエリで時間範囲も指定されている場合、Microsoft Sentinel は時間範囲の和集合で検索ジョブを実行します。

8. 新しいテーブル名を入力して、検索ジョブの結果を格納します。

9. [ 検索ジョブの実行] を選択します。

10. 通知検索ジョブが完了するのを待ち、ボタンを選択してテーブルに移動し、結果を表示します。

検索ジョブの結果を表示する

[保存された検索] タブに移動して、検索ジョブの状態と結果を表示します。

1. Microsoft Sentinel で、[検索]>[保存された検索] を選択します。

2. 検索カードで、[検索結果の表示] を選択します。

   

   既定では、元の検索条件に一致する結果すべてが表示されます。

3. 検索テーブルから返された結果の一覧を絞り込むには、[フィルターを追加] を選択します。

4. 検索ジョブ結果を確認しているときに、[ブックマークの追加] を選択するか、ブックマーク アイコンを選んで行を保存します。 ブックマークを追加すると、イベントにタグを付け、メモを追加し、後で参照するためにこれらのイベントをインシデントにアタッチすることができます。

   

5. [列] ボタンを選択し、結果ビューに追加する列の横にあるチェックボックスをオンにします。

6. [ブックマーク設定済み] フィルターを追加し、保存されたエントリのみを表示します。

7. [すべてのブックマークを表示] を選んで [ハンティング] ページに移動します。ここで、既存のインシデントにブックマークを追加できます。

次のステップ

詳細については、以下の記事をお読みください。

• ブックマークを使用して追求する
• 長期的なリテンション期間からログを復元する
• Log Analytics ワークスペースでのデータ保有期間の管理