Ressources utiles pour utiliser le langage de requête Kusto dans Microsoft Sentinel
Microsoft Sentinel utilise l’environnement Log Analytics d’Azure Monitor et le Langage de requête Kusto (KQL) pour générer les requêtes qui sous-disposent d’une grande partie de ses fonctionnalités, de règles d’analytique aux classeurs à la chasse. Cet article répertorie les ressources qui peuvent vous aider à travailler avec Langage de requête Kusto, ce qui vous donne plus d’outils pour travailler avec Microsoft Sentinel, qu’il s’agisse d’un ingénieur de sécurité ou d’un analyste.
Ressources techniques de Microsoft
Documentation Microsoft Sentinel
Documentation Kusto
- Ressources d’apprentissage pour le langage de requête Kusto
- Tutoriel : Découvrir les opérateurs courants
- Tutoriel : Utiliser des fonctions d’agrégation
- Tutoriel : Joindre des données à partir de plusieurs tables
- Prise en main des requêtes KQL (documentation Azure Monitor)
- Meilleures pratiques relatives aux requêtes KQL (Langage de requête Kusto)
Guides de référence
- Guide de référence rapide sur KQL
- Aide-mémoire SQL vers Kusto
- Mappage du langage de requête Splunk avec Kusto
Modules Learn Microsoft Sentinel
- Écrire votre première requête avec le langage de requête Kusto
- Parcours d’apprentissage SC-200 : Créer des requêtes pour Microsoft Sentinel avec le langage de requête Kusto (KQL)
Autres ressources
Blogs Microsoft TechCommunity
- Advanced KQL Framework Workbook - Empowering you to become KQL-savvy (comprend un webinaire)
- Using KQL functions to speed up analysis in Azure Sentinel (niveau avancé)
- Série de blogs d’Ofer Shezaf sur les règles de corrélation utilisant des opérateurs KQL :
Ressources de formation et de qualification
- Série Must Learn KQL de Rod Trent
- Pluralsight training: Kusto Query Language from Scratch
- Environnement de démo Log Analytics