Consultas para a tabela AlertInfo

Para obter informações sobre como usar essas consultas no portal do Azure, consulte o tutorial do Log Analytics. Para a API REST, consulte Consulta.

Alertas por técnica MITRE ATT&CK

Listar o número de alertas pela técnica MITRE ATT&CK em ordem decrescente.

AlertInfo
| where isnotempty(AttackTechniques)
| mvexpand todynamic(AttackTechniques) to typeof(string)
| summarize AlertCount = dcount(AlertId) by AttackTechniques
| sort by AlertCount desc