介绍
Microsoft Sentinel 收集存储在表中的日志数据。 Microsoft Sentinel 中的“日志”页提供了一个用户界面,用于使用 Kusto 查询语言(KQL)生成和查看查询结果。 KQL 是用于执行数据分析的查询语言,用于创建分析、工作簿,并使用 Microsoft Sentinel 执行搜寻。
你是一名安全运营分析师,该公司正在实施Microsoft Sentinel。 您必须查看工作区中可用的表。 可以使用 Azure 门户中Microsoft Sentinel 中的“日志”页,以及 Defender 门户中 提供的“高级搜寻”和“Data lake”页来编写 Kusto 查询语言(KQL)语句以查看表中存储的数据。 将日志数据连接到 Microsoft Sentinel 工作区时,连接器会将数据写入特定表。
你需要基本了解提供的表及其预期目的。 例如,“SecurityEvents”表专为 Windows 安全事件日志数据而设计。 通过此知识,可以查询搜索恶意活动时要使用的所需表。
完成本模块后,你将能够:
- 使用“日志”页在 Microsoft Sentinel 中查看数据表
- 使用 Microsoft Sentinel 查询使用量最大的表
先决条件
操作概念的基本知识,如监视、日志记录和警报
重要
Microsoft Sentinel 已在 Microsoft Defender 门户中推出正式版,没有 Microsoft Defender XDR 或 E5 许可证的客户也可以使用它。
从 2026 年 7 月开始,在 Azure 门户中使用 Microsoft Sentinel 的所有客户都将重定向到 Defender 门户,并将仅在 Defender 门户中使用Microsoft Sentinel。 从 2025 年 7 月开始,许多新客户会自动加入并重定向到 Defender 门户。
如果仍在 Azure 门户中使用 Microsoft Sentinel,建议开始计划过渡到 Defender 门户,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全作体验。 有关详细信息,请参阅“ 是时候行动了:停用 Microsoft Sentinel 的 Azure 门户,以提高安全性。