Nützliche Ressourcen für die Arbeit mit der Kusto-Abfragesprache in Microsoft Sentinel
Microsoft Sentinel verwendet die Log Analytics-Umgebung von Azure Monitor und die Kusto-Abfragesprache (KQL, Kusto Query Language), um die Abfragen zu erstellen, die von Analyseregeln über Arbeitsmappen bis hin zu Hunting einen Großteil der Sentinel-Funktionalität unterstützen. In diesem Artikel werden Ressourcen aufgeführt, die Ihnen helfen können, mit der Kusto-Abfragesprache zu arbeiten, die Ihnen als technische Fachkraft für Sicherheit und Analyst gleichermaßen mehr Tools für die Arbeit mit Microsoft Sentinel bietet.
Technische Ressourcen von Microsoft
Dokumentation zu Microsoft Sentinel
Azure Monitor-Dokumentation
- Tutorial: Verwenden von Kusto-Abfragen in Azure Data Explorer und Azure Monitor
- Erste Schritte mit Protokollabfragen in Azure Monitor
- Query best practices (Bewährte Methoden für Abfragen)
Referenzhandbücher
- KQL-Kurzübersicht
- Cheat Sheet für die Übersetzung von SQL in Kusto
- Zuordnung von Splunk zur Kusto-Abfragesprache
Microsoft Sentinel Learn-Module
- Schreiben einer ersten Abfrage mit der Kusto-Abfragesprache
- Lernpfad SC-200: Erstellen von Abfragen für Microsoft Sentinel mithilfe von Kusto Query Language (KQL)
Weitere Ressourcen
Microsoft TechCommunity-Blogs
- Advanced KQL Framework Workbook - Empowering you to become KQL-savvy (Erweiterte KQL-Frameworkarbeitsmappe: Hier werden Sie zum KQL-Profi; einschließlich Webinar)
- Using KQL functions to speed up analysis in Azure Sentinel (Verwenden von KQL-Funktionen zum Beschleunigen der Analyse in Azure Sentinel; für Fortgeschrittene)
- Ofer Shezafs Blogreihe zu Korrelationsregeln mit KQL-Operatoren:
- Azure Sentinel correlation rules: Active Lists out, make_list() in: the AAD/AWS correlation example (Azure Sentinel-Korrelationsregeln: Active Lists raus, make_list() rein: das AAD/AWS-Korrelationsbeispiel)
- Azure Sentinel correlation rules: the join KQL operator (Azure Sentinel-Korrelationsregeln: Der Join-KQL-Operator)
- Implementing Lookups in Azure Sentinel (Implementieren von Suchfunktionen in Azure Sentinel)
- Approximate, partial and combined lookups in Azure Sentinel (Ungefähre, partielle und kombinierte Suchfunktionen in Azure Sentinel)
Schulungs- und Qualifikationsressourcen
- „Must Learn KQL“-Reihe von Rod Trent
- Pluralsight-Training: Kusto Query Language from Scratch (Grundlagen der Kusto-Abfragesprache)
- Demoumgebung für Log Analytics
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für