Eventos
Aceite o Desafio do Microsoft Learn
19 de nov., 23 - 10 de jan., 23
Ignite Edition - Desenvolva habilidades no Microsoft Security Copilot e ganhe um selo digital até 10 de janeiro!
Registrar agoraNão há mais suporte para esse navegador.
Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes.
Crie plug-ins avançados com consultas Linguagem de Consulta Kusto (KQL) para explorar os seus dados e descobrir padrões.
Essas configurações são comuns a todas as habilidades do KQL.
Settings:
# What type of KQL endpoint to connect to.
# One of { Defender, Sentinel, LogAnalytics, Kusto }
Target: Sentinel
# A URL to download the KQL query template from.
# Specify either TemplatUrl or Template but not both.
TemplateUrl: https://gist.githubusercontent.com/NitinKumarGoel/c862ba63878dd2624acb1b0e260f409a/raw/3a527014757b4ee1f00302a1b34a13e7b83ff77a/gistfile1.txt
# An inline KQL query template.
# Specify either TemplatUrl or Template but not both.
Template: |-
SigninLogs
| where UserDisplayName == '{{user}}' or UserPrincipalName == '{{user}}'
| project TimeGenerated, OperationName, UserDisplayName, UserPrincipalName, Location, ResourceDisplayName, ConditionalAccessStatus, IsInteractive
| top 100 by TimeGenerated desc
A tabela a seguir mostra o settings
que pode ser configurado para quaisquer destinos de habilidade do KQL:
Nome da configuração | Tipo | Descrição | Obrigatório |
---|---|---|---|
Template |
string | Modelo de prompt do KQL. Dá suporte a até 80.000 caracteres. | Sim, se TemplateUrl não for especificado. |
TemplateUrl |
string | URL público para baixar o modelo de prompt do KQL (até 80.000 caracteres). | Sim. Especifique o TemplateUrl ou o Template, mas não ambos. |
PackageUrl |
string | URL público para o arquivo zip com o modelo de prompt do KQL. Observação: isso é especificado no nível do SkillGroup. Semelhante ao packageurl de competências de GPT – exemplo. | Sim, se Template ou TemplateUrl não forem especificados. |
TemplateFile |
string | Caminho relativo para o modelo de prompt do KQL (até 80.000 caracteres) no arquivo zip PackageUrl. | Sim, se PackageUrl for especificado. |
Essas configurações são válidas para habilidades do KQL em que o Target
é Sentinel
.
Settings:
# The ID of the AAD Organization that the Sentinel workspace is in.
TenantId:
# The id of the Azure Subscription that the Sentinel workspace is in.
SubscriptionId:
# The name of the Resource Group that the Sentinel workspace is in.
ResourceGroupName:
# The name of the Sentinel workspace.
WorkspaceName:
Essas configurações são válidas para habilidades do KQL em que o Target
é Kusto
.
Settings:
# The Kusto cluster URL.
Cluster:
# The Kusto database name.
Database:
Descriptor:
Name: SampleDefenderKQL
DisplayName: My Sample Defender KQL Plugin
Description: Skills to query email logs in M365 Advanced Hunting
SkillGroups:
- Format: KQL
Skills:
- Name: GetLatestEmailsByRecipient
DisplayName: Get Latest Emails By Recipient
Description: Fetches the latest emails received by the user with the specified email address
Inputs:
- Name: email
Description: The email address of the recipient
Required: true
Settings:
Target: Defender
Template: |-
EmailEvents
| where RecipientEmailAddress =~ '{{email}}'
| project Timestamp, NetworkMessageId, SenderFromAddress, SenderDisplayName, Subject, DeliveryLocation
| top 100 by Timestamp desc
Eventos
Aceite o Desafio do Microsoft Learn
19 de nov., 23 - 10 de jan., 23
Ignite Edition - Desenvolva habilidades no Microsoft Security Copilot e ganhe um selo digital até 10 de janeiro!
Registrar agoraTreinamento
Roteiro de aprendizagem
SC-200: Criar consultas para o Microsoft Sentinel usando a KQL (Linguagem de Consulta Kusto)
Certificação
Microsoft Certified: Azure Cosmos DB Developer Specialty - Certifications
Escreva consultas eficientes, crie políticas de indexação, gerencie e provisione recursos na API e no SDK do SQL com o Microsoft Azure Cosmos DB.