KQL-instructies maken voor Microsoft Sentinel

Module
10 Eenheden

Gevorderd

Security Operations Analyst

Azure

Azure Data Explorer

Azure Log Analytics

Microsoft Sentinel

KQL is de querytaal die wordt gebruikt om analyses uit te voeren op gegevens om analyses, werkmappen te maken en opsporing uit te voeren in Microsoft Sentinel. Meer informatie over hoe de basisstructuur van KQL-instructies de basis biedt voor het bouwen van complexere instructies.

Leerdoelen

Na voltooiing van deze module kan de cursist het volgende doen:

KQL-instructies maken
Logboekbestanden zoeken naar beveiligingsevenementen met behulp van KQL
Zoekopdrachten filteren op basis van gebeurtenistijd, ernst, domein en andere relevante gegevens met behulp van KQL

Vereisten

geen

Introductie min
Inzicht in de Kusto-querytaal-instructiestructuur min
De zoekoperator gebruiken min
De where-operator gebruiken min
De let-instructie gebruiken min
De operator uitbreiden gebruiken min
De order per operator gebruiken min
De projectoperators gebruiken min
Kenniscontrole min
Samenvatting en informatiebronnen min