为 Microsoft Sentinel 构造 KQL 语句

模块
10 单元

中级

安全运营分析员

Azure

Azure 数据资源管理器

Azure Log Analytics

Microsoft Sentinel

KQL 是用于执行数据分析，以在 Microsoft Sentinel 中创建分析、工作簿和执行搜寻的查询语言。了解基本 KQL 语句结构如何为构建更复杂的语句提供基础。

学习目标

学完本模块后，学员将能够：

构造 KQL 语句
使用 KQL 搜索安全事件的日志文件
使用 KQL 基于事件时间、严重性、域和其他相关数据筛选搜索

先决条件

无