Užitečné zdroje informací pro práci s dotazovací jazyk Kusto ve službě Microsoft Sentinel

Microsoft Sentinel používá prostředí Log Analytics a dotazovací jazyk Kusto (KQL) služby Azure Monitor k vytváření dotazů, které využívají většinu funkcí služby Sentinel, od analytických pravidel přes sešity až po proaktivní vyhledávání. Tento článek obsahuje seznam zdrojů informací, které vám můžou pomoct při práci s dotazovací jazyk Kusto. Získáte tak další nástroje pro práci se službou Microsoft Sentinel, ať už jako bezpečnostní technik nebo analytik.

Technické zdroje microsoftu

Dokumentace ke službě Microsoft Sentinel

• dotazovací jazyk Kusto ve službě Microsoft Sentinel

Dokumentace ke službě Azure Monitor

• Kurz: Použití dotazů Kusto
• Začínáme s dotazy KQL
• Osvědčené postupy pro dotazy

Referenční příručky

• Stručná referenční příručka ke KQL
• Stručná nápověda pro převod mezi SQL a Kusto
• Splunk to dotazovací jazyk Kusto mapě

Moduly Learn pro Microsoft Sentinel

• Napsání prvního dotazu pomocí dotazovací jazyk Kusto
• Studijní program SC-200: Vytváření dotazů pro službu Microsoft Sentinel pomocí dotazovací jazyk Kusto (KQL)

Další prostředky

Blogy Microsoft TechCommunity

• Pokročilý sešit architektury KQL – umožňuje vám stát se zkušenými v KQL (včetně webináře)
• Použití funkcí KQL ke zrychlení analýzy ve službě Azure Sentinel (pokročilá úroveň)
• Série blogu Ofera Shezafa o korelačních pravidlech pomocí operátorů KQL:
  • Pravidla korelace služby Azure Sentinel: Aktivní seznamy, make_list() v: příklad korelace AAD/AWS
  • Korelační pravidla Azure Sentinelu: operátor join KQL
  • Implementace vyhledávání ve službě Azure Sentinel
  • Přibližná, částečná a kombinovaná vyhledávání ve službě Azure Sentinel

Zdroje školení a dovedností

• Rod Trent's Must Learn KQL series
• Školení Pluralsight: dotazovací jazyk Kusto od začátku
• Ukázkové prostředí Log Analytics

Další kroky

Získejte certifikaci!

Přečtěte si scénáře použití u zákazníků.