Costruire istruzioni KQL per Microsoft Sentinel

Modulo
10 Unità

Intermedio

Analista delle operazioni per la sicurezza

Microsoft Defender XDR

Esplora dati di Azure

Log Analytics di Azure

Microsoft Sentinel

Kusto (KQL) è il linguaggio di query usato per eseguire analisi sui dati in modo da creare analisi e cartelle di lavoro e mettere in atto un processo di ricerca in Microsoft Sentinel. Di seguito viene descritto come la struttura di base delle istruzioni KQL pone le basi per la creazione di istruzioni più complesse.

Obiettivi di apprendimento

Al termine del modulo, si sarà in grado di:

Costruire istruzioni KQL
Cercare gli eventi di sicurezza nei file di log usando KQL
Filtrare le ricerche in base all'ora dell'evento, alla gravità, al dominio e ad altri dati pertinenti usando KQL

Prerequisiti

Nessuno

Introduzione min
Informazioni sulla struttura delle istruzioni KQL min
Usare l'operatore search min
Usare l'operatore where min
Usare l'istruzione let min
Usare l'operatore extend min
Usare l'operatore order by min
Usare gli operatori project min
Valutazione del modulo min
Riepilogo e risorse min

Avvio