Construcción de instrucciones KQL para Microsoft Sentinel

Módulo
10 Unidades

Intermedio

Analista de operaciones de seguridad

Azure

Explorador de datos de Azure

Azure Log Analytics

Microsoft Sentinel

KQL es el lenguaje de consulta que se usa para analizar datos con el fin de crear análisis, libros y realizar búsquedas en Microsoft Sentinel. Obtenga información sobre cómo la estructura de instrucciones KQL básica proporciona la base para crear instrucciones más complejas.

Objetivos de aprendizaje

Al final de este módulo, podrá hacer lo siguiente:

Construir instrucciones KQL
Buscar eventos de seguridad en archivos de registro con KQL
Filtrar búsquedas en función de la hora del evento, la gravedad, el dominio y otros datos relevantes mediante KQL

Requisitos previos

ninguno

Introducción min
Descripción de la estructura de instrucciones del lenguaje de consulta Kusto min
Uso del operador de búsqueda min
Uso del operador where min
Uso de la instrucción Let min
Uso del operador extend min
Uso del operador order by min
Uso de los operadores project min
Prueba de conocimientos min
Resumen y recursos min