Полезные ресурсы для работы с языком запросов Kusto в Microsoft Sentinel

Microsoft Sentinel использует среду Log Analytics службы Azure Monitor и язык запросов Kusto (KQL) для создания запросов, которые лежат в основе большинства функциональных возможностей Sentinel: от правил аналитики и книг до поиска. В этой статье перечислены ресурсы, которые помогут как специалистам по безопасности, так и аналитикам развить навыки использования языка запросов Kusto, расширяющего возможности работы с Microsoft Sentinel.

Технические ресурсы Майкрософт

Документация по Microsoft Sentinel

• Язык запросов Kusto в Microsoft Sentinel

Документация по Azure Monitor

• Учебник. Использование запросов Kusto
• Начало работы с запросами на языке Kusto
• Рекомендации по запросам

Справочные руководства

• Краткое справочное руководство по языку запросов Kusto
• Памятка по преобразованию из SQL в Kusto
• Схема языка запросов Splunk в Kusto

Модули Learn, посвященные Microsoft Sentinel

• Создание первого запроса на языке запросов Kusto
• Схема обучения SC-200. Создание запросов для Microsoft Sentinel с помощью языка запросов Kusto (KQL)

Другие ресурсы

Блоги технического сообщества Майкрософт

• Книга по расширенной платформе KQL — освоение тонкостей языка KQL (с вебинаром)
• Использование функций KQL для ускорения анализа в Azure Sentinel (продвинутый уровень)
• Серия записей в блоге Офера Шезафа (Ofer Shezaf) по правилам корреляции с применением операторов KQL:
  • Правила корреляции Azure Sentinel: make_list() вместо активных списков, пример корреляции AAD и AWS
  • Правила корреляции Azure Sentinel: оператор join в KQL
  • Реализация подстановок в Azure Sentinel
  • Приблизительные, частичные и объединенные подстановки в Azure Sentinel

Ресурсы для обучения и развития навыков

• Серия "Изучаем KQL" Рода Трента (Rod Trent)
• Pluralsight: изучение языка запросов Kusto с нуля
• Демонстрационная среда Log Analytics

Дальнейшие действия

Сертификация

Варианты использования на примере реальных клиентов