Introduktion
Microsoft Sentinel samlar in loggdata som lagras i tabeller. Sidan Loggar i Microsoft Sentinel innehåller ett användargränssnitt för att skapa och visa frågeresultat med hjälp av Kusto-frågespråk (KQL). KQL är det frågespråk som används för att utföra dataanalys för att skapa analyser, arbetsböcker och utföra jakt med Microsoft Sentinel.
Du är säkerhetsanalytiker och arbetar på ett företag som implementerar Microsoft Sentinel. Du måste utforska tabellerna som är tillgängliga på din arbetsyta. På sidan Loggar med Microsoft Sentinel kan du skriva KQL-instruktioner (Kusto-frågespråk) för att visa data som lagras i tabellerna. När du ansluter loggdata till Microsoft Sentinel-arbetsytan skriver anslutningsapparna data till specifika tabeller.
Du måste ha en grundläggande förståelse för de angivna tabellerna och deras avsedda syfte. Tabellen "SecurityEvents" är till exempel utformad för Windows-säkerhet händelseloggdata. Med den här kunskapen kan du fråga de tabeller som krävs för att använda i din sökning efter skadlig aktivitet.
När du har slutfört den här modulen kommer du att kunna:
- Använd sidan Loggar för att visa datatabeller med Microsoft Sentinel
- Fråga de mest använda tabellerna med Hjälp av Microsoft Sentinel
Förutsättningar
Grundläggande kunskap om begrepp relaterade till operativa åtgärder, till exempel övervakning, loggning och avisering