Erstellen von KQL-Anweisungen für Microsoft Sentinel

Modul
10 Einheiten

Fortgeschrittene Anfänger

Security Operations Analyst

Microsoft Defender XDR

Azure-Daten-Explorer

Azure Log Analytics

Microsoft Sentinel

Die Kusto-Abfragesprache (Kusto Query Language, KQL) dient der Untersuchung von Daten zum Erstellen von Analysen und Workbooks sowie dem Hunting in Microsoft Sentinel. Im Folgenden finden Sie Informationen darüber, wie Sie mithilfe der grundlegenden KQL-Anweisungsstruktur komplexe Anweisungen erstellen.

Lernziele

In diesem Modul lernen Sie Folgendes:

Erstellen von KQL-Anweisungen
Durchsuchen von Protokolldateien nach Sicherheitsereignissen mithilfe von KQL
Filtern von Suchergebnissen basierend auf der Ereigniszeit, dem Schweregrad, der Domäne und anderen relevanten Daten mithilfe von KQL

Voraussetzungen

Keine

Einführung min
Grundlegendes zur Anweisungsstruktur der Kusto-Abfragesprache min
Verwenden des Suchoperators min
Verwenden des where-Operators min
Verwenden der Let-Anweisung min
Verwenden des extend-Operators min
Verwenden des order by-Operators min
Verwenden der project-Operatoren min
Wissensbeurteilung min
Zusammenfassung und Ressourcen min