Úvod
Microsoft Sentinel shromažďuje data protokolů, která jsou uložená v tabulkách. Stránka Protokoly v Microsoft Sentinelu poskytuje uživatelské rozhraní pro sestavení a zobrazení výsledků dotazů pomocí dotazovací jazyk Kusto (KQL). KQL je dotazovací jazyk používaný k analýze dat pro vytváření analýz, sešitů a proaktivního vyhledávání pomocí Služby Microsoft Sentinel.
Pracujete ve společnosti, která implementuje Microsoft Sentinel, a pracujete jako analytik operací zabezpečení. Musíte prozkoumat tabulky dostupné ve vašem pracovním prostoru. Stránka Protokoly pomocí Služby Microsoft Sentinel umožňuje psát příkazy dotazovací jazyk Kusto (KQL) pro zobrazení dat uložených v tabulkách. Když připojíte data protokolu k pracovnímu prostoru Microsoft Sentinelu, konektory zapisují data do konkrétních tabulek.
Musíte mít základní znalosti o zadaných tabulkách a jejich zamýšleném účelu. Například tabulka SecurityEvents je určená pro data protokolu událostí Zabezpečení Windows. S těmito znalostmi budete moct zadávat dotazy na požadované tabulky, které se mají použít při hledání škodlivých aktivit.
Po dokončení tohoto modulu budete umět:
- Zobrazení tabulek dat pomocí služby Microsoft Sentinel na stránce Protokoly
- Dotazování nejčastěji používaných tabulek pomocí Microsoft Sentinelu
Požadavky
Základní znalost provozních konceptů, jako je monitorování, protokolování a upozorňování