Konstruowanie instrukcji KQL dla usługi Microsoft Sentinel

Moduł
10 Lekcji

Średni

Security Operations Analyst

Microsoft Defender XDR

Azure Data Explorer

Azure Log Analytics

Microsoft Sentinel

język zapytań Kusto (KQL) to język zapytań używany do przeprowadzania analizy danych w celu tworzenia analiz, skoroszytów i wyszukiwania zagrożeń w usłudze Microsoft Sentinel. Dowiedz się, jak podstawowa struktura instrukcji KQL stanowi podstawę do tworzenia bardziej złożonych instrukcji.

Cele szkolenia

Po ukończeniu tego modułu osoba ucząca się może wykonywać następujące czynności:

Konstruowanie instrukcji KQL
Wyszukiwanie plików dziennika pod kątem zdarzeń zabezpieczeń przy użyciu języka KQL
Filtrowanie wyszukiwań na podstawie czasu zdarzenia, ważności, domeny i innych odpowiednich danych przy użyciu języka KQL

Wymagania wstępne

Brak

Wprowadzenie min
Omówienie struktury instrukcji język zapytań Kusto min
Korzystanie z operatora wyszukiwania min
Użyj operatora where min
Korzystanie z instrukcji let min
Używanie operatora rozszerzania min
Używanie operatora order by min
Używanie operatorów projektu min
Test wiedzy min
Podsumowanie i zasoby min