Risorse utili per l'uso di Linguaggio di query Kusto in Microsoft Sentinel

Microsoft Sentinel usa l'ambiente Log Analytics di Monitoraggio di Azure e l'Linguaggio di query Kusto (KQL) per compilare le query che sottoscrivere gran parte delle funzionalità di Sentinel, dalle regole di analisi alle cartelle di lavoro alla ricerca. Questo articolo elenca le risorse che consentono di lavorare con Linguaggio di query Kusto, che ti daranno più strumenti per lavorare con Microsoft Sentinel, sia come tecnico della sicurezza che come analista.

Risorse tecniche Microsoft

Documentazione di Microsoft Sentinel

• Linguaggio di query Kusto in Microsoft Sentinel

Documentazione di Monitoraggio di Azure

• Esercitazione: Usare query Kusto
• Introduzione alle query KQL
• Procedure consigliate per le query

Guide di riferimento

• Guida di riferimento rapido di KQL
• Scheda di riferimento rapido sul passaggio da SQL a Kusto
• Splunk per Linguaggio di query Kusto mappa

Moduli di Microsoft Sentinel Learn

• Scrivere la prima query con il linguaggio di query Kusto
• Percorso di apprendimento SC-200: Creare query per Microsoft Sentinel usando Linguaggio di query Kusto (KQL)

Altre risorse

Blog di Microsoft TechCommunity

• Cartella di lavoro avanzata di KQL Framework : consente di diventare KQL-savvy (include webinar)
• Uso delle funzioni KQL per velocizzare l'analisi in Azure Sentinel (livello avanzato)
• Serie di blog di Ofer Shezaf sulle regole di correlazione usando gli operatori KQL:
  • Regole di correlazione di Azure Sentinel: Elenchi attivi in uscita, make_list() in: esempio di correlazione AAD/AWS
  • Regole di correlazione di Azure Sentinel: operatore KQL join
  • Implementazione delle ricerche in Azure Sentinel
  • Ricerche approssimative, parziali e combinate in Azure Sentinel

Formazione e competenze

• Serie KQL di Rod Trent
• Training pluralsight: Linguaggio di query Kusto da Zero
• Ambiente demo di Log Analytics

Passaggi successivi

Ottenere la certificazione!

Leggere le storie dei casi d'uso dei clienti