SC-200: Erstellen von Abfragen für Microsoft Sentinel mithilfe von Kusto Query Language (KQL)

Fortgeschrittene Anfänger
Security Operations Analyst
Azure
Microsoft Sentinel

Schreiben Sie die KQL-Anweisungen (Kusto Query Language) zum Abfragen von Protokolldaten, um Erkennungen, Analysen und Berichte in Microsoft Sentinel auszuführen. Dieser Lernpfad konzentriert sich auf die am häufigsten verwendeten Operatoren. In den KQL-Beispielanweisungen werden sicherheitsbezogene Tabellenabfragen vorgestellt.

Voraussetzungen

Grundlegendes Verständnis der Konzepte zur Skripterstellung.

Module in diesem Lernpfad

KQL ist die Abfragesprache, die der Untersuchung von Daten zum Erstellen von Analysen und Arbeitsmappen sowie der Ausführung von Huntingvorgängen in Microsoft Sentinel dient. Im Folgenden finden Sie Informationen darüber, wie Sie mithilfe der grundlegenden KQL-Anweisungsstruktur komplexe Anweisungen erstellen.

Hier erfahren Sie, wie Sie Daten in einer KQL-Anweisung zusammenfassen und visualisieren. Dies ist die Grundlage zum Erstellen von Erkennungen in Microsoft Sentinel.

Hier erfahren Sie, wie Sie mit KQL mit mehreren Tabellen arbeiten.

Erfahren Sie, wie Sie mithilfe der Kusto-Abfragesprache (Kusto Query Language, KQL) aus Protokollquellen erfasste Zeichenfolgendaten bearbeiten.