Nützliche Ressourcen für die Arbeit mit der Kusto-Abfragesprache in Microsoft Sentinel

Microsoft Sentinel verwendet die Log Analytics-Umgebung von Azure Monitor und die Kusto-Abfragesprache (KQL, Kusto Query Language), um die Abfragen zu erstellen, die von Analyseregeln über Arbeitsmappen bis hin zu Hunting einen Großteil der Sentinel-Funktionalität unterstützen. In diesem Artikel werden Ressourcen aufgeführt, die Ihnen helfen können, mit der Kusto-Abfragesprache zu arbeiten, die Ihnen als technische Fachkraft für Sicherheit und Analyst gleichermaßen mehr Tools für die Arbeit mit Microsoft Sentinel bietet.

Technische Ressourcen von Microsoft

Dokumentation zu Microsoft Sentinel

• Kusto-Abfragesprache in Microsoft Sentinel

Azure Monitor-Dokumentation

• Tutorial: Verwenden von Kusto-Abfragen in Azure Data Explorer und Azure Monitor
• Erste Schritte mit Protokollabfragen in Azure Monitor
• Query best practices (Bewährte Methoden für Abfragen)

Referenzhandbücher

• KQL-Kurzübersicht
• Cheat Sheet für die Übersetzung von SQL in Kusto
• Zuordnung von Splunk zur Kusto-Abfragesprache

Microsoft Sentinel Learn-Module

• Schreiben einer ersten Abfrage mit der Kusto-Abfragesprache
• Lernpfad SC-200: Erstellen von Abfragen für Microsoft Sentinel mithilfe von Kusto Query Language (KQL)

Weitere Ressourcen

Microsoft TechCommunity-Blogs

• Advanced KQL Framework Workbook - Empowering you to become KQL-savvy (Erweiterte KQL-Frameworkarbeitsmappe: Hier werden Sie zum KQL-Profi; einschließlich Webinar)
• Using KQL functions to speed up analysis in Azure Sentinel (Verwenden von KQL-Funktionen zum Beschleunigen der Analyse in Azure Sentinel; für Fortgeschrittene)
• Ofer Shezafs Blogreihe zu Korrelationsregeln mit KQL-Operatoren:
  • Azure Sentinel correlation rules: Active Lists out, make_list() in: the AAD/AWS correlation example (Azure Sentinel-Korrelationsregeln: Active Lists raus, make_list() rein: das AAD/AWS-Korrelationsbeispiel)
  • Azure Sentinel correlation rules: the join KQL operator (Azure Sentinel-Korrelationsregeln: Der Join-KQL-Operator)
  • Implementing Lookups in Azure Sentinel (Implementieren von Suchfunktionen in Azure Sentinel)
  • Approximate, partial and combined lookups in Azure Sentinel (Ungefähre, partielle und kombinierte Suchfunktionen in Azure Sentinel)

Schulungs- und Qualifikationsressourcen

• „Must Learn KQL“-Reihe von Rod Trent
• Pluralsight-Training: Kusto Query Language from Scratch (Grundlagen der Kusto-Abfragesprache)
• Demoumgebung für Log Analytics

Nächste Schritte

Lassen Sie sich zertifizieren!

Informieren Sie sich über Anwendungsfälle unserer Kunden