KQL-taken maken in de Data Lake van Microsoft Sentinel

KQL-taken zijn eenmalige of geplande KQL-query's op gegevens in de Data Lake van Microsoft Sentinel. Gebruik taken voor onderzoeks- en analytische scenario's, zoals:

• Langlopende eenmalige query's voor incidentonderzoeken en incidentrespons (IR)
• Taken voor gegevensaggregatie die ondersteuning bieden voor verrijkingswerkstromen met behulp van logboeken met lage kwaliteit
• Historische bedreigingsinformatie (TI) overeenkomende scans voor retrospectiefanalyse
• Anomaliedetectiescans die ongebruikelijke patronen in meerdere tabellen identificeren

KQL-taken zijn met name effectief wanneer query's joins of samenvoegingen gebruiken in verschillende gegevenssets.

Gebruik taken om gegevens van de Data Lake-laag te promoveren naar de analyselaag. Gebruik in de analyselaag de geavanceerde KQL-editor voor opsporing om een query uit te voeren op de gegevens. Het promoten van gegevens naar de analyselaag heeft de volgende voordelen:

• Combineer huidige en historische gegevens in de analyselaag om geavanceerde analyse- en machine learning-modellen uit te voeren op uw gegevens.
• Verlaag de querykosten door query's uit te voeren in de analyselaag.
• Gegevens uit meerdere werkruimten combineren tot één werkruimte in de analyselaag.
• Combineer Microsoft Entra ID, Microsoft 365 en Microsoft Resource Graph-gegevens in de analyselaag om geavanceerde analyses uit te voeren in gegevensbronnen.

Opmerking

Voor opslag in de analyselaag worden hogere factureringstarieven in rekening gebracht dan in de Data Lake-laag. Als u de kosten wilt verlagen, moet u alleen gegevens promoten die u verder moet analyseren. Gebruik de KQL in uw query om alleen de benodigde kolommen te projecteren en filter de gegevens om de hoeveelheid gegevens te verminderen die wordt gepromoveerd naar de analyselaag.

U kunt gegevens promoveren naar een nieuwe tabel of de resultaten toevoegen aan een bestaande tabel in de analyselaag. Bij het maken van een nieuwe tabel wordt de tabelnaam voorzien van _KQL_CL om aan te geven dat de tabel is gemaakt door een KQL-taak.

Vereiste voorwaarden

Als u KQL-taken wilt maken en beheren in microsoft Sentinel Data Lake, hebt u de volgende vereisten nodig.

Onboarden naar de data lake

Als u KQL-taken wilt maken en beheren in de Data Lake van Microsoft Sentinel, moet u eerst onboarden naar de data lake. Zie Onboarding naar de Data Lake voor meer informatie over onboarding naar de Data Lake van Microsoft Sentinel.

Machtigingen

Microsoft Entra ID-rollen bieden brede toegang tot alle werkruimten in de data lake. Als u tabellen in alle werkruimten wilt lezen, naar de analyselaag wilt schrijven en taken wilt plannen met behulp van KQL-query's, moet u een van de ondersteunde Microsoft Entra ID-rollen hebben. Zie Microsoft Sentinel Data Lake-rollen en -machtigingen voor meer informatie over rollen en machtigingen.

Als u nieuwe aangepaste tabellen wilt maken in de analyselaag, wijst u de rol Log Analytics-inzender in de Log Analytics-werkruimte toe aan de door Data Lake beheerde identiteit.

Voer de volgende stappen uit om de rol toe te wijzen:

1. Ga in Azure Portal naar de Log Analytics-werkruimte waaraan u de rol wilt toewijzen.
2. Selecteer Toegangsbeheer (IAM) in het linkernavigatiedeelvenster.
3. Selecteer Roltoewijzing toevoegen.
4. Selecteer in de rolletabel *Log Analytics-inzender en selecteer vervolgens volgende.
5. Selecteer Beheerde identiteit en selecteer vervolgens Leden selecteren.
6. Uw door Data Lake beheerde identiteit is een door het systeem toegewezen beheerde identiteit met de naam msg-resources-<guid>. Selecteer de beheerde identiteit en selecteer Vervolgens Selecteren.
7. Selecteer Controleren en toewijzen.

Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie over het toewijzen van rollen aan beheerde identiteiten.

Een taak maken

U kunt taken maken die volgens een planning of eenmalig moeten worden uitgevoerd. Wanneer u een opdracht creëert, specificeert u de doelwerkruimte en tabel voor de resultaten. U kunt de resultaten naar een nieuwe tabel schrijven of deze toevoegen aan een bestaande tabel in de analyselaag. U kunt een nieuwe KQL-taak maken of een taak maken op basis van een sjabloon met de query- en taakinstellingen. Zie Een KQL-taak maken op basis van een sjabloon voor meer informatie.

1. Start het proces voor het maken van taken vanuit de KQL-queryeditor of op de pagina voor het beheren van taken.

   1. Als u een taak wilt maken vanuit de KQL-queryeditor, selecteert u de knop Taak maken in de rechterbovenhoek van de queryeditor.

   2. Als u een taak wilt maken op de pagina jobsbeheer, selecteert u Microsoft Sentinel>Data lake-verkenningstaken> en selecteert u vervolgens de knop Taak maken.

2. Voer een taaknaam in. De taaknaam moet uniek zijn voor de tenant. Taaknamen mogen maximaal 256 tekens bevatten. U kunt een # of een - taaknaam niet gebruiken.

3. Voer een taakbeschrijving in die de context en het doel van de taak biedt.

4. Selecteer in de vervolgkeuzelijst Select workspace de doelwerkruimte. Deze werkruimte bevindt zich in de analyselaag waar u de queryresultaten wilt schrijven.

5. Selecteer de doel-tabel:

   1. Als u een nieuwe tabel wilt maken, selecteert u Een nieuwe tabel maken en voert u een tabelnaam in. Tabellen die zijn gemaakt door KQL-taken, hebben het achtervoegsel _KQL_CL toegevoegd aan de tabelnaam.

   2. Als u aan een bestaande tabel wilt toevoegen, selecteert u Toevoegen aan een bestaande tabel en selecteert u de tabelnaam in de vervolgkeuzelijst. Wanneer u toevoegt aan een bestaande tabel, moeten de queryresultaten overeenkomen met het schema van de bestaande tabel.

6. Kies Volgende.

7. Controleer of schrijf uw query in het deelvenster Query voorbereiden . Controleer of de tijdkiezer is ingesteld op het vereiste tijdsbereik voor de taak als het datumbereik niet is opgegeven in de query.

8. Selecteer de werkruimten waarvoor u de query wilt uitvoeren in de vervolgkeuzelijst Geselecteerde werkruimten . Deze werkruimten zijn de bronwerkruimten waarvan u de tabellen wilt raadplegen. De werkruimten die u selecteert, bepalen welke tabellen beschikbaar zijn voor het uitvoeren van query's. De geselecteerde werkruimten zijn van toepassing op alle querytabbladen in de queryeditor. Wanneer u meerdere werkruimten gebruikt, wordt de union() operator standaard toegepast op tabellen met dezelfde naam en hetzelfde schema uit verschillende werkruimten. Gebruik de workspace() operator om een query uit te voeren op een tabel uit een specifieke werkruimte, bijvoorbeeld workspace("MyWorkspace").AuditLogs.

   Opmerking

   Als u naar een bestaande tabel schrijft, moet de query resultaten retourneren met een schema dat overeenkomt met het doeltabelschema. Als de query geen resultaten retourneert met het juiste schema, mislukt de taak wanneer deze wordt uitgevoerd.

9. Kies Volgende.

   

   Selecteer op de pagina voor het plannen van de querytaak of u de taak eenmaal of volgens een schema wilt uitvoeren. Als u eenmalig selecteert, wordt de taak uitgevoerd zodra de taakdefinitie is voltooid. Als u Planning selecteert, kunt u een datum en tijd opgeven waarop de taak moet worden uitgevoerd of de taak volgens een terugkerend schema uitvoeren.

10. Selecteer één keer of geplande taak.

    Opmerking

    Als u een eenmalige taak bewerkt, wordt de uitvoering onmiddellijk geactiveerd.

11. Als u Planning hebt geselecteerd, voert u de volgende gegevens in:

    1. Selecteer de frequentie Herhalen in de vervolgkeuzelijst. U kunt Per minuut, Elk uur, Dagelijks, Wekelijks of Maandelijks selecteren.
    2. Stel elke waarde herhalen in voor hoe vaak de taak moet worden uitgevoerd met betrekking tot de geselecteerde frequentie.
    3. Voer onder Schema instellen de Van datums en tijden in. De begintijd van de taak in het veld Van moet ten minste 30 minuten na het maken van de taak zijn. De taak wordt uitgevoerd vanaf deze datum en tijd volgens de frequentie die geselecteerd is in de vervolgkeuzelijst Uitvoeren elke.
    4. Selecteer de tot datum en tijd om aan te geven wanneer het werkrooster eindigt. Als u wilt dat de planning voor onbepaalde tijd wordt voortgezet, selecteert u Set-taak om voor onbepaalde tijd uit te voeren.

    De start- en eindtijden van de opdracht worden ingesteld volgens de landinstelling van de gebruiker.

    Opmerking

    Als u plant dat een taak met een hoge frequentie wordt uitgevoerd, bijvoorbeeld om de 30 minuten, moet u rekening houden met de tijd die nodig is om gegevens beschikbaar te maken in de Data Lake. Er is doorgaans een latentie van maximaal 15 minuten voordat nieuwe opgenomen gegevens beschikbaar zijn voor het uitvoeren van query's.

12. Selecteer Volgende om de taakdetails te controleren.

    

13. Controleer de taakdetails en selecteer Verzenden om de taak te maken. Als de taak een eenmalige taak is, wordt deze uitgevoerd nadat u Verzenden hebt geselecteerd. Als de taak is gepland, wordt deze toegevoegd aan de lijst met taken op de pagina Taken en wordt deze uitgevoerd op basis van de begingegevens en -tijd.

14. De taak is gepland en de volgende pagina wordt weergegeven. U kunt de taak weergeven door de koppeling te selecteren.

Een taak maken op basis van een sjabloon

U kunt een KQL-taak maken op basis van een vooraf gedefinieerde taaksjabloon. Taaksjablonen bevatten de KQL-query- en taakinstellingen, zoals de doelwerkruimte en tabel, planning en beschrijving. U kunt uw eigen taaksjablonen maken of ingebouwde sjablonen van Microsoft gebruiken.

Voer de volgende stappen uit om een taak te maken op basis van een sjabloon:

1. Selecteer op de pagina Taken of de KQL-query-editor de optie Job aanmaken en selecteer vervolgens Maken op basis van sjabloon.

2. Selecteer op de pagina Taaksjablonen de sjabloon die u wilt gebruiken in de lijst met beschikbare sjablonen.

3. Controleer de beschrijving en de KQL-query van de sjabloon.

4. Selecteer Taak maken op basis van sjabloon.

   

5. De wizard voor het maken van een taak wordt geopend met de pagina Een nieuwe KQL-taak maken . De details van de taak worden vooraf ingevuld vanuit de sjabloon, met uitzondering van de werkruimte voor bestemming.

6. Selecteer de doelwerkruimte in de vervolgkeuzelijst Werkruimte selecteren .

7. Controleer de taakdetails en wijzig deze indien nodig, en selecteer Volgende om door te gaan met de taakwizard.

8. De resterende stappen zijn hetzelfde als het maken van een nieuwe taak. De velden worden vooraf ingevuld vanuit de sjabloon en kunnen indien nodig worden gewijzigd. Zie Een taak maken voor meer informatie.

De volgende sjablonen zijn beschikbaar:

Sjabloonnaam	Categorie
Afwijkende aanmeldingslocaties toenemen Analyseer trendanalyse van entra-id-aanmeldingslogboeken om ongebruikelijke locatiewijzigingen voor gebruikers in toepassingen te detecteren door trendlijnen van locatiediversiteit te berekenen. Het markeert de drie belangrijkste accounts met de steilste toename van de locatievariabiliteit en vermeldt de bijbehorende locaties binnen 21-daagse vensters. Bestemmingstabel: UserAppSigninLocationTrend Query lookback: 1 dag Planning: dagelijks Begindatum: Huidige datum + 1 uur	Jagen
Afwijkend aanmeldingsgedrag op basis van locatiewijzigingen Identificeer afwijkend aanmeldingsgedrag op basis van locatiewijzigingen voor Entra ID-gebruikers en -apps om plotselinge wijzigingen in gedrag te detecteren. Doeltabel: UserAppSigninLocationAnomalies Query lookback: 1 dag Planning: dagelijks Begindatum: Huidige datum + 1 uur	Anomaliedetectie
Zeldzame activiteit per app controleren Zoek apps die zeldzame acties uitvoeren (bijvoorbeeld toestemming, machtigingen) die stilletjes extra bevoegdheden kunnen verlenen. Vergelijk de huidige dag met de laatste 14 dagen aan controles om nieuwe controleactiviteiten te identificeren. Handig voor het bijhouden van schadelijke activiteiten met betrekking tot toevoegingen of verwijderingen van gebruikers/groepen door Azure Apps en geautomatiseerde goedkeuringen. Bestemmingstabel: AppAuditRareActivity Query lookback: 14 dagen Planning: dagelijks Begindatum: Huidige datum + 1 uur	Jagen
Zeldzame bewerkingen op abonnementsniveau van Azure Identificeer gevoelige gebeurtenissen op Azure-abonnementsniveau op basis van Azure-activiteitenlogboeken. Bewaking bijvoorbeeld op basis van de bewerkingsnaam 'Momentopname maken of bijwerken', die wordt gebruikt voor het maken van back-ups, maar kan worden misbruikt door aanvallers om hashes te dumpen of gevoelige informatie uit de schijf te extraheren. Bestemmingstabel: AzureSubscriptionSensitiveOps Query lookback: 14 dagen Planning: dagelijks Begindatum: Huidige datum + 1 uur	Jagen
Trend van dagelijkse activiteit per app in AuditLogs Identificeer vanaf de afgelopen 14 dagen elke bewerking 'Toestemming voor toepassing' door een gebruiker of app. Dit kan erop wijzen dat machtigingen voor toegang tot de vermelde AzureApp zijn verstrekt aan een kwaadwillende actor. Toestemming voor de toepassing, het toevoegen van een service-principal en het toevoegen van Auth2PermissionGrant-gebeurtenissen moeten zeldzaam zijn. Indien beschikbaar, wordt er extra context toegevoegd vanuit de AuditLogs op basis van CorrleationId van hetzelfde account dat 'Toestemming voor toepassing' heeft uitgevoerd. Bestemmingstabel: AppAuditActivityBaseline Query lookback: 14 dagen Planning: dagelijks Begindatum: Huidige datum + 1 uur	Basislijn
Dagelijkse locatietrend per gebruiker of app in SignInLogs Bouw dagelijkse trends voor alle aanmeldingen van gebruikers, het aantal locaties en hun app-gebruik. Bestemmingstabel: UserAppSigninLocationBaseline Query lookback: 1 dag Planning: dagelijks Begindatum: Huidige datum + 1 uur	Basislijn
Trend van dagelijks netwerkverkeer per doel-IP Stel een basislijn op, inclusief bytes en verschillende peers, om beaconing en exfiltratie te detecteren. Doeltabel: NetworkTrafficDestinationIPDailyBaseline Query lookback: 1 dag Planning: dagelijks Begindatum: Huidige datum + 1 uur	Basislijn
Trend van dagelijks netwerkverkeer per doel-IP met statistieken voor gegevensoverdracht Identificeer interne host die contact zoekt met een externe bestemming, inclusief volumetrends en het schatten van de impactstraal. Destination table: NetworkTrafficDestinationIPTrend Query lookback: 1 dag Planning: dagelijks Begindatum: Huidige datum + 1 uur	Jagen
Trend van dagelijks netwerkverkeer per bron-IP Maak een basislijn, inclusief bytes en unieke peers, om beaconing en exfiltratie te detecteren. Bestemmingstabel: NetworkTrafficSourceIPDailyBaseline Query-terugkijkperiode: 1 dag Planning: dagelijks Begindatum: Huidige datum + 1 uur	Basislijn
Trend van dagelijks netwerkverkeer per bron-IP met gegevensoverdrachtstatistieken De huidige verbindingen en bytes worden geëvalueerd op basis van de dagelijkse basislijn van de host om te bepalen of het waargenomen gedrag aanzienlijk afwijkt van het vastgestelde patroon. Bestemmingstabel: NetworkTrafficSourceIPTrend Query-terugblik: 1 dag Planning: dagelijks Begindatum: Huidige datum + 1 uur	Jagen
Trend van dagelijkse aanmeldingslocatie per gebruiker en app Maak een aanmeldingsbasislijn voor elke gebruiker of toepassing met typische geografische en IP-adressen, waardoor efficiënte en rendabele anomaliedetectie op schaal mogelijk is. Doeltabel: UserAppSigninLocationDailyBaseline Query lookback: 1 dag Planning: dagelijks Begindatum: Huidige datum + 1 uur	Basislijn
Trend van dagelijkse procesuitvoering Identificeer nieuwe processen en prevalentie, waardoor 'nieuwe zeldzame proces'-detecties eenvoudiger worden. Doeltabel: EndpointProcessExecutionBaseline Query lookback: 1 dag Planning: dagelijks Begindatum: Huidige datum + 1 uur	Basislijn
Entra ID zeldzame gebruikersagent per app Stel een basislijn in van het type UserAgent (dat wil gezegd, browser, office-toepassing, enzovoort) die doorgaans voor een bepaalde toepassing wordt gebruikt door een aantal dagen terug te kijken. Vervolgens wordt op de huidige dag gezocht naar eventuele afwijkingen van dit patroon, dat wil gezegd, typen UserAgents die niet eerder in combinatie met deze toepassing worden gezien. Bestemmingstabel: UserAppRareUserAgentAnomalies Query lookback: 7 dagen Planning: dagelijks Begindatum: Huidige datum + 1 uur	Anomaliedetectie
IOC-matching voor netwerklog Identificeer eventuele IP-indicatoren van inbreuk (IOC's) van bedreigingsinformatie (TI) door te zoeken naar overeenkomsten in CommonSecurityLog. Doeltabel: NetworkLogIOCMatches Terugblik op query: 1 uur Planning: ieder uur Begindatum: Huidige datum + 1 uur	Jagen
Nieuwe processen waargenomen in de afgelopen 24 uur Nieuwe processen in stabiele omgevingen kunnen duiden op schadelijke activiteiten. Het analyseren van aanmeldingssessies waarin deze binaire bestanden zijn uitgevoerd, kan helpen bij het identificeren van aanvallen. Doeltabel: EndpointNewProcessExecutions Query lookback: 14 dagen Planning: dagelijks Begindatum: Huidige datum + 1 uur	Jagen
SharePoint-bestandsbewerking via eerder niet-gebruikte IP-adressen Identificeer afwijkingen met behulp van gebruikersgedrag door een drempelwaarde in te stellen voor belangrijke wijzigingen in activiteiten voor het uploaden/downloaden van bestanden van nieuwe IP-adressen. Hiermee wordt een basislijn van typisch gedrag vastgesteld, vergeleken met recente activiteit, en worden afwijkingen gemarkeerd die een standaarddrempelwaarde van 25 overschrijden. Doeltabel: SharePointFileOpsNewIPs Query lookback: 14 dagen Planning: dagelijks Begindatum: Huidige datum + 1 uur	Jagen
Palo Alto potential network beaconing Identificeer beaconingpatronen uit Palo Alto Networks-verkeerslogboeken op basis van terugkerende tijdsdeltapatronen. De query maakt gebruik van verschillende KQL-functies om tijdsdelta's te berekenen en vergelijkt deze vervolgens met het totale aantal gebeurtenissen dat in een dag is waargenomen om het percentage van de aconing te vinden. Bestemmingstabel: PaloAltoNetworkBeaconingTrend Query lookback: 1 dag Planning: dagelijks Begindatum: Huidige datum + 1 uur	Jagen
Windows verdachte aanmelding buiten normale uren Identificeer ongebruikelijke Windows-aanmeldingsgebeurtenissen buiten de normale uren van een gebruiker door te vergelijken met de aanmeldingsactiviteit van de afgelopen 14 dagen, waarbij afwijkingen worden gemarkeerd op basis van historische patronen. Doeltabel: WindowsLoginOffHoursAnomalies Query lookback: 14 dagen Planning: dagelijks Begindatum: Huidige datum + 1 uur	Anomaliedetectie

Overwegingen en beperkingen

Houd rekening met de volgende beperkingen en aanbevolen procedures wanneer u taken maakt in de Data Lake van Microsoft Sentinel:

KQL

• Alle KQL-operators en -functies worden ondersteund, met uitzondering van het volgende:

  • adx()
  • arg()
  • externaldata()
  • ingestion_time()

• Wanneer u de stored_query_results opdracht gebruikt, geeft u het tijdsbereik op in de KQL-query. De tijdkiezer boven de queryeditor werkt niet met deze opdracht.

• Door de gebruiker gedefinieerde functies worden niet ondersteund.

Vacatures

• Taaknamen moeten uniek zijn voor de tenant.
• Taaknamen kunnen maximaal 256 tekens bevatten.
• Taaknamen mogen geen # of - bevatten.
• De begintijd van de taak moet ten minste 30 minuten na het maken of bewerken van de taak zijn.

Latentie van gegevensopname in de Data Lake

In de data lake-laag worden gegevens opgeslagen in koude opslag. In tegenstelling tot dynamische of bijna realtime analyselagen, is koude opslag geoptimaliseerd voor langetermijnretentie en kostenefficiëntie en biedt geen directe toegang tot nieuw opgenomen gegevens. Wanneer nieuwe rijen worden toegevoegd aan bestaande tabellen in de Data Lake, is er een typische latentie van maximaal 15 minuten voordat de gegevens beschikbaar zijn voor het uitvoeren van query's. Houd rekening met de opnamelatentie wanneer u query's uitvoert en KQL-taken plant door ervoor te zorgen dat lookbackvensters en taakplanningen zijn geconfigureerd om gegevens te voorkomen die nog niet beschikbaar zijn.

Als u wilt voorkomen dat er query's worden uitgevoerd op gegevens die mogelijk nog niet beschikbaar zijn, neemt u een vertragingsparameter op in uw KQL-query's of -taken. Wanneer u bijvoorbeeld geautomatiseerde taken plant, stelt u de eindtijd now() - delayvan de query in op, waarbij deze delay overeenkomt met de typische latentie van gegevensgereedheid van 15 minuten. Deze aanpak zorgt ervoor dat query's alleen gericht zijn op gegevens die volledig zijn opgenomen en gereed zijn voor analyse.

let lookback = 15m;
let delay = 15m;
let endTime = now() - delay;
let startTime = endTime - lookback;
CommonSecurityLog
| where TimeGenerated between (startTime .. endTime)

Deze aanpak is effectief voor taken met korte lookbackvensters of regelmatige uitvoeringsintervallen.

Overweeg om de lookbackperiode te overlappen met de taakfrequentie om het risico te verminderen dat er late binnenkomende gegevens ontbreken.

Zie Opnamevertraging afhandelen in geplande analyseregels voor meer informatie.

Kolomnamen

De volgende standaardkolommen worden niet ondersteund voor export. Het verwerkingsproces overschrijft deze kolommen in het doelniveau.

• huurder-ID

• _Ontvangsttijd

• Typologie

• SourceSystem

• HulpbronId

• _Abonneenummer

• _ItemId

• _Facturatiegrootte

• _IsBillable # Geeft aan of iets factureerbaar is

• _WorkspaceId

• TimeGenerated wordt overschreven als deze ouder is dan twee dagen. Als u de oorspronkelijke gebeurtenistijd wilt behouden, schrijft u de tijdstempel van de bron naar een afzonderlijke kolom.

Zie Microsoft Sentinel data lake service-limieten voor servicelimieten.

Opmerking

Gedeeltelijke resultaten kunnen worden gepromoveerd als de query van de taak de limiet van één uur overschrijdt.

Serviceparameters en -limieten voor KQL-taken

De volgende tabel bevat de serviceparameters en -limieten voor KQL-taken in de Data Lake van Microsoft Sentinel.

Categorie	Parameter/limiet
Gelijktijdige taakuitvoering per tenant	3
Time-out voor uitvoering van taakquery's	1 uur
Taken per tenant (ingeschakelde taken)	100
Aantal uitvoertabellen per taak	1
Querybereik	Meerdere werkruimten
Tijdsbereik van zoekopdracht	Tot 12 jaar

Zie Problemen met KQL-query's voor microsoft Sentinel data lake oplossen voor tips en foutberichten.

Verwante inhoud

• Opdrachten beheren in de Microsoft Sentinel Data Lake
• Overzicht van Microsoft Sentinel Data Lake
• KQL-query's in de Data Lake van Microsoft Sentinel
• Jupyter-notebooks en de Microsoft Sentinel-gegevensmeer