SC-200：使用 Kusto 查询语言 (KQL) 为 Microsoft Sentinel 创建查询

学习路径
4 模块

中级

安全运营分析员

Azure

Microsoft Sentinel

编写 Kusto 查询语言 (KQL) 语句来查询日志数据，在 Microsoft Sentinel 中执行检测、分析和报告。此学习路径将重点介绍最常用的运算符。示例 KQL 语句将展示与安全性相关的表查询。

先决条件

对脚本概念有基本了解。

本学习路径中的模块

为 Microsoft Sentinel 构造 KQL 语句

KQL 是用于执行数据分析，以在 Microsoft Sentinel 中创建分析、工作簿和执行搜寻的查询语言。了解基本 KQL 语句结构如何为构建更复杂的语句提供基础。

使用 KQL 分析查询结果

了解如何使用 KQL 语句汇总和直观呈现数据为在 Microsoft Sentinel 中构建检测奠定了基础。

使用 KQL 生成多表语句

了解如何使用 KQL 处理多个表。

使用 Kusto 查询语言处理 Microsoft Sentinel 中的数据

了解如何使用 Kusto 查询语言 (KQL) 处理从日志源引入的字符串数据。