Costruire istruzioni KQL per Microsoft Sentinel

Modulo
10 Unità

Intermedio

Analista delle operazioni di sicurezza

Azure

Esplora dati di Azure

Azure Log Analytics

Microsoft Sentinel

KQL è il linguaggio di query usato per eseguire analisi sui dati in modo da creare analisi e cartelle di lavoro ed eseguire il rilevamento in Microsoft Sentinel. Di seguito viene descritto come la struttura di base delle istruzioni KQL pone le basi per la creazione di istruzioni più complesse.

Obiettivi di apprendimento

Dopo aver completato questo modulo, si sarà in grado di:

Costruire istruzioni KQL
Cercare gli eventi di sicurezza nei file di log usando KQL
Filtrare le ricerche in base all'ora dell'evento, alla gravità, al dominio e ad altri dati pertinenti usando KQL

Prerequisiti

Nessuno

Introduzione min
Informazioni sulla struttura delle istruzioni KQL min
Usare l'operatore search min
Usare l'operatore where min
Usare l'istruzione let min
Usare l'operatore extend min
Usare l'operatore order by min
Usare gli operatori project min
Verifica delle conoscenze min
Riepilogo e risorse min