1100 XP

Construire des instructions KQL pour Microsoft Azure Sentinel

36 min
Module
10 Unités

Intermédiaire

Analyste des opérations de sécurité

Microsoft Defender XDR

Explorateur de données Azure

Azure Log Analytics

Microsoft Sentinel

KQL est le langage de requête utilisé pour effectuer une analyse de données afin de créer des analyses, des classeurs et de mener la chasse (ou repérage) dans Microsoft Azure Sentinel. Découvrez comment la structure de l’instruction KQL de base fournit les bases pour créer des instructions plus complexes.

Objectifs d’apprentissage

À la fin de ce module, l’apprenant sera en mesure de :

Construire des instructions KQL
Rechercher des événements de sécurité dans les fichiers journaux à l’aide de KQL
Filtrer les recherches en fonction de l’heure de l’événement, de la gravité, du domaine et d’autres données pertinentes à l’aide de KQL

Démarrer

Prérequis

Aucune

Ce module fait partie de ces parcours d’apprentissage

SC-200 : Créer des requêtes pour Microsoft Sentinel avec le langage de requête Kusto (KQL)

Évaluation du module

Évaluez votre compréhension de ce module. Connectez-vous et répondez correctement à toutes les questions pour obtenir une mention de réussite sur votre profil.

Passer l’évaluation du module

Introduction 3 min
Comprendre la structure des instructions du langage de requête Kusto 3 min
Utiliser l’opérateur de recherche 3 min
Utiliser l’opérateur where 3 min
Utiliser l’instruction Let 6 min
Utiliser l’opérateur extend 6 min
Utiliser l’ordre par opérateur 3 min
Utiliser les opérateurs de projet 3 min
Contrôle des connaissances 3 min
Récapitulatif et ressources 3 min