Полезные ресурсы для работы с языком запросов Kusto в Microsoft Sentinel
Microsoft Sentinel использует среду Log Analytics службы Azure Monitor и язык запросов Kusto (KQL) для создания запросов, которые лежат в основе большинства функциональных возможностей Sentinel: от правил аналитики и книг до поиска. В этой статье перечислены ресурсы, которые помогут как специалистам по безопасности, так и аналитикам развить навыки использования языка запросов Kusto, расширяющего возможности работы с Microsoft Sentinel.
Технические ресурсы Майкрософт
Документация по Microsoft Sentinel
Документация по Azure Monitor
- Учебник. Использование запросов Kusto
- Начало работы с запросами на языке Kusto
- Рекомендации по запросам
Справочные руководства
- Краткое справочное руководство по языку запросов Kusto
- Памятка по преобразованию из SQL в Kusto
- Схема языка запросов Splunk в Kusto
Модули Learn, посвященные Microsoft Sentinel
- Создание первого запроса на языке запросов Kusto
- Схема обучения SC-200. Создание запросов для Microsoft Sentinel с помощью языка запросов Kusto (KQL)
Другие ресурсы
Блоги технического сообщества Майкрософт
- Книга по расширенной платформе KQL — освоение тонкостей языка KQL (с вебинаром)
- Использование функций KQL для ускорения анализа в Azure Sentinel (продвинутый уровень)
- Серия записей в блоге Офера Шезафа (Ofer Shezaf) по правилам корреляции с применением операторов KQL:
Ресурсы для обучения и развития навыков
- Серия "Изучаем KQL" Рода Трента (Rod Trent)
- Pluralsight: изучение языка запросов Kusto с нуля
- Демонстрационная среда Log Analytics