Användbara resurser för att arbeta med Kusto-frågespråk i Microsoft Sentinel

Microsoft Sentinel använder Azure Monitors Log Analytics-miljö och Kusto-frågespråk (KQL) för att skapa frågor som undergird mycket av Sentinels funktioner, från analysregler till arbetsböcker till jakt. Den här artikeln innehåller resurser som kan hjälpa dig att arbeta med Kusto-frågespråk, vilket ger dig fler verktyg för att arbeta med Microsoft Sentinel, oavsett om du är säkerhetstekniker eller analytiker.

Tekniska resurser från Microsoft

Dokumentation om Microsoft Sentinel

• Kusto-frågespråk i Microsoft Sentinel

Dokumentation om Azure Monitor

• Självstudie: Använda Kusto-frågor
• Kom igång med KQL-frågor
• Bästa metoderna för frågor

Referensguider

• Snabbreferensguide för KQL
• Lathund för SQL till Kusto
• Splunk till Kusto-frågespråk karta

Microsoft Sentinel Learn-moduler

• Skriv din första fråga med Kusto-frågespråk
• Utbildningsväg SC-200: Skapa frågor för Microsoft Sentinel med hjälp av Kusto-frågespråk (KQL)

Andra resurser

Microsoft TechCommunity-bloggar

• Avancerad KQL Framework-arbetsbok – Ger dig möjlighet att bli KQL-kunnig (inklusive webbseminarier)
• Använda KQL-funktioner för att påskynda analysen i Azure Sentinel (avancerad nivå)
• Ofer Shezafs bloggserie om korrelationsregler med KQL-operatorer:
  • Azure Sentinel-korrelationsregler: Aktiva listor ut, make_list() i: AAD/AWS-korrelationsexemplet
  • Korrelationsregler i Azure Sentinel: KQL-operatorn join
  • Implementera sökningar i Azure Sentinel
  • Ungefärliga, partiella och kombinerade sökningar i Azure Sentinel

Utbildnings- och kunskapsresurser

• Rod Trent's Must Learn KQL-serien
• Pluralsight-träning: Kusto-frågespråk från grunden
• Log Analytics-demomiljö

Nästa steg

Bli certifierad!

Läs kundanvändningsfall