보안 팀의 기본 활동 중 하나는 로그에서 특정 이벤트를 검색하는 것입니다. 예를 들어 지정된 시간 프레임 내에서 특정 사용자의 활동에 대한 로그를 검색할 수 있습니다.
Microsoft Sentinel 검색 작업을 사용하여 매우 큰 데이터 세트의 오랜 기간 동안 검색할 수 있습니다. 모든 유형의 로그에서 검색 작업을 실행할 수 있지만 검색 작업은 장기 보존(이전의 보관) 상태에서 로그를 검색하는 데 적합합니다. 이러한 데이터에 대한 전체 조사를 수행해야 하는 경우 해당 데이터를 일반 Log Analytics 테이블과 같은 대화형 보존 상태로 복원하여 고성능 쿼리 및 심층 분석을 실행할 수 있습니다.
중요
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.
대용량 데이터 세트 검색
검색 작업을 사용하여 장기 보존에 저장된 데이터를 검색하거나 로그 쿼리 시간 제한(10분)이 충분하지 않은 경우 대량의 데이터를 검색합니다. 검색 작업은 Log Analytics 작업 영역의 검색 테이블에 레코드를 가져오는 비동기 쿼리입니다. 검색 작업은 병렬 처리를 사용하여 매우 큰 데이터 세트의 오랜 시간 범위에서 검색하므로 검색 작업은 작업 영역의 성능 또는 가용성에 영향을 주지 않습니다.
검색 결과는 접미사가 있는 라는 _SRCH 테이블에 저장됩니다.
이 이미지는 검색 작업에 대한 예제 검색 조건을 보여 줍니다.
장기 보존에서 로그 데이터 복원
장기 보존에서 로그 데이터에 대한 전체 조사를 수행해야 하는 경우 Microsoft Sentinel 검색 페이지에서 테이블을 복원합니다. 복원하려는 데이터의 대상 테이블 및 시간 범위를 지정합니다. 몇 분 내에 로그 데이터가 복원되고 Log Analytics 작업 영역 내에서 사용할 수 있습니다. 그런 다음 전체 KQL을 지원하는 고성능 쿼리에서 데이터를 사용할 수 있습니다.
복원된 로그 테이블은 *_RST 접미사가 있는 새 테이블에서 사용할 수 있습니다. 복원된 데이터는 기본 원본 데이터를 사용할 수 있는 한 사용할 수 있습니다. 그러나 기본 원본 데이터를 삭제하지 않고 언제든지 복원된 테이블을 삭제할 수 있습니다. 비용을 절감하려면 복원된 테이블을 더 이상 필요하지 않은 경우 삭제하는 것이 좋습니다.
다음 이미지는 저장된 검색의 복원 옵션을 보여줍니다.
로그 복원 제한 사항
Azure Monitor 설명서의 복원 제한을 참조하세요.
책갈피 검색 결과 또는 복원된 데이터 행
위협 헌팅 dashboard 마찬가지로 흥미로운 정보가 포함된 책갈피 행을 사용하여 인시던트에 연결하거나 나중에 참조할 수 있습니다. 자세한 내용은 책갈피 만들기를 참조하세요.