Nützliche Ressourcen für die Arbeit mit der Kusto-Abfragesprache in Microsoft Sentinel

Microsoft Sentinel verwendet die Log Analytics-Umgebung von Azure Monitor und die Kusto-Abfragesprache (KQL), um die Abfragen zu erstellen, die einen Großteil ihrer Funktionen, von Analyseregeln bis hin zu Arbeitsmappen bis zur Suche, untergib. In diesem Artikel werden Ressourcen aufgeführt, die Ihnen dabei helfen können, mit Kusto-Abfragesprache zu arbeiten, sodass Sie mehr Tools für die Arbeit mit Microsoft Sentinel erhalten, ganz gleich, ob als Sicherheitstechniker oder Analyst.

Technische Ressourcen von Microsoft

Dokumentation zu Microsoft Sentinel

• Kusto-Abfragesprache in Microsoft Sentinel

Kusto-Dokumentation

• Lernressourcen zur Kusto-Abfragesprache
• Tutorial: Kennenlernen gängiger Operatoren
• Lernprogramm: Verwenden von Aggregationsfunktionen
• Lernprogramm: Verknüpfen von Daten aus mehreren Tabellen
• Erste Schritte mit KQL-Abfragen (Dokumentation zu Azure Monitor)
• Bewährte Methoden für Kusto-Abfragesprache Abfragen

Referenzhandbücher

• KQL-Kurzübersicht
• Cheat Sheet für die Übersetzung von SQL in Kusto
• Zuordnung von Splunk zur Kusto-Abfragesprache

Microsoft Sentinel Learn-Module

• Schreiben einer ersten Abfrage mit der Kusto-Abfragesprache
• Lernpfad SC-200: Erstellen von Abfragen für Microsoft Sentinel mithilfe von Kusto Query Language (KQL)

Weitere Ressourcen

Microsoft TechCommunity-Blogs

• Advanced KQL Framework Workbook - Empowering you to become KQL-savvy (Erweiterte KQL-Frameworkarbeitsmappe: Hier werden Sie zum KQL-Profi; einschließlich Webinar)
• Using KQL functions to speed up analysis in Azure Sentinel (Verwenden von KQL-Funktionen zum Beschleunigen der Analyse in Azure Sentinel; für Fortgeschrittene)
• Ofer Shezafs Blogreihe zu Korrelationsregeln mit KQL-Operatoren:
  • Azure Sentinel correlation rules: Active Lists out, make_list() in: the AAD/AWS correlation example (Azure Sentinel-Korrelationsregeln: Active Lists raus, make_list() rein: das AAD/AWS-Korrelationsbeispiel)
  • Azure Sentinel correlation rules: the join KQL operator (Azure Sentinel-Korrelationsregeln: Der Join-KQL-Operator)
  • Implementing Lookups in Azure Sentinel (Implementieren von Suchfunktionen in Azure Sentinel)
  • Ungefähre, teilweise und kombinierte Nachschlagevorgänge in Azure Sentinel

Schulungs- und Qualifikationsressourcen

• „Must Learn KQL“-Reihe von Rod Trent
• Pluralsight-Training: Kusto Query Language from Scratch (Grundlagen der Kusto-Abfragesprache)
• Demoumgebung für Log Analytics

Nächste Schritte

Lassen Sie sich zertifizieren!

Informieren Sie sich über Anwendungsfälle unserer Kunden