Užitečné zdroje informací pro práci s dotazovací jazyk Kusto v Microsoft Sentinelu

Microsoft Sentinel používá prostředí Log Analytics služby Azure Monitor a dotazovací jazyk Kusto (KQL) k vytváření dotazů, které jsou méně rozsáhlé funkce služby Sentinel, od analytických pravidel až po sešity až po proaktivní vyhledávání. Tento článek obsahuje zdroje informací, které vám pomůžou pracovat s dotazovací jazyk Kusto, což vám poskytne další nástroje pro práci s Microsoft Sentinelem, ať už jako bezpečnostní inženýr nebo analytik.

Technické zdroje microsoftu

Dokumentace ke službě Microsoft Sentinel

• dotazovací jazyk Kusto v Microsoft Sentinelu

Dokumentace k Azure Monitor

• Kurz: Použití dotazů Kusto
• Začínáme s dotazy KQL
• Osvědčené postupy pro dotazy

Referenční příručky

• Stručná referenční příručka KQL
• Stručná nápověda k SQL do Kusto
• Splunk to dotazovací jazyk Kusto mapu

Moduly Microsoft Sentinel Learn

• Napsání prvního dotazu pomocí dotazovací jazyk Kusto
• Studijní program SC-200: Vytváření dotazů pro Microsoft Sentinel pomocí dotazovací jazyk Kusto (KQL)

Další prostředky

Blogy Microsoft TechCommunity

• Pokročilý sešit architektury KQL – umožňuje vám stát se zkušeným jazykem KQL (včetně webináře).
• Použití funkcí KQL k urychlení analýzy ve službě Azure Sentinel (pokročilá úroveň)
• Ofer Shezaf's blog series on correlation rules using KQL operators:
  • Pravidla korelace Služby Azure Sentinel: Aktivní seznamy, make_list() v příkladu korelace AAD/AWS
  • Pravidla korelace Služby Azure Sentinel: operátor join KQL
  • Implementace vyhledávání ve službě Azure Sentinel
  • Přibližné, částečné a kombinované vyhledávání ve službě Azure Sentinel

Materiály pro školení a dovednosti

• Rod Trent's Must Learn KQL series
• Školení pluralsightu: dotazovací jazyk Kusto od začátku
• Ukázkové prostředí Log Analytics

Další kroky

Získejte certifikaci!

Čtení scénářů použití zákazníků