SC-200：使用 Kusto 查詢語言 (KQL) 建立 Microsoft Sentinel 的查詢

學習途徑
4 單元

中級

安全性作業分析師

Azure

Microsoft Sentinel

寫入 Kusto 查詢語言 (KQL) 陳述式來查詢記錄資料，在 Microsoft Sentinel 中執行偵測、分析及報告。此學習路徑將著重於最常使用的運算子。範例 KQL 陳述式將會展示與安全性相關的資料表查詢。

必要條件

指令碼概念的基本理解。

此學習路徑中的課程模組

為 Microsoft Sentinel 建構 KQL 陳述式

KQL 是用於執行資料分析，以在 Microsoft Sentinel 中建立分析、活頁簿及執行搜補的查詢語言。了解基本的 KQL 陳述式結構如何為建置更複雜的陳述式提供基礎。

使用 KQL 分析查詢結果

了解如何使用 KQL 陳述式來彙總和視覺化資料，以在 Microsoft Sentinel 中建立偵測的基礎。

使用 KQL 建置多資料表陳述式

瞭解如何使用 KQL 處理多個資料表。

使用 Kusto 查詢語言來處理 Microsoft Sentinel 中的資料

了解如何使用 Kusto 查詢語言 (KQL) 來操作從記錄來源內嵌的字串資料。