在 Microsoft Sentinel 中使用 Kusto 查詢語言的實用資源

Microsoft Sentinel 會使用 Azure 監視器的 Log Analytics 環境和 Kusto 查詢語言 (KQL)，組建大部分 Sentinel 功能不足的查詢 (從分析規則到活頁簿再到搜捕)。 本文列出可協助您技能處理 Kusto 查詢語言的資源，這可讓您以安全性工程師或分析師身分使用更多 Microsoft Sentinel 的工具。

Microsoft 技術資源

Microsoft Sentinel 文件

• Microsoft Sentinel 中的 Kusto 查詢語言

Azure 監視器文件

• 教學課程：使用 Kusto 查詢
• 開始使用 KQL 查詢
• 查詢最佳做法

參考指南

• KQL 快速參考指南
• SQL 對 Kusto 的功能提要
• Splunk 至 Kusto 查詢語言對應

Microsoft Sentinel Learn 課程模組

• 用 Kusto 查詢語言編寫您的第一個查詢
• 學習路徑 SC-200：使用 Kusto 查詢語言 (KQL) 建立適用於 Microsoft Sentinel 的查詢

其他資源

Microsoft TechCommunity 部落格

• 進階 KQL Framework 活頁簿 - 讓您成為精通 KQL 的人(包括網路研討會)
• 使用 KQL 函式以加速在 Azure Sentinel 進行分析(進階等級)
• Ofer Shezaf 部落格系列，說明使用 KQL 運算子的相互關聯規則：
  • Azure Sentinel 相互關聯規則：active List out，make_list () in: the AAD/AWS 相互關聯範例
  • Azure Sentinel 相互關聯規則：聯結 KQL 運算子
  • 在 Azure Sentinel 中實作查閱
  • 在 Azure Sentinel 中的近似、部分和合併的查閱

訓練和技能資源

• Rod Trent 的 Must Learn KQL 系列
• Pluralsight 訓練：來自 Scratch 的 Kusto 查詢語言 (KQL)
• Log Analytics 示範環境

下一步

取得認證！

閱讀客戶使用案例劇本 (英文)