Construire des instructions KQL pour Microsoft Azure Sentinel

Module
10 Unités

Intermédiaire

Analyste des opérations de sécurité

Microsoft Defender XDR

Explorateur de données Azure

Azure Log Analytics

Microsoft Sentinel

KQL est le langage de requête utilisé pour effectuer une analyse de données afin de créer des analyses, des classeurs et de mener la chasse (ou repérage) dans Microsoft Azure Sentinel. Découvrez comment la structure de l’instruction KQL de base fournit les bases pour créer des instructions plus complexes.

Objectifs d’apprentissage

À la fin de ce module, l’apprenant sera en mesure de :

Construire des instructions KQL
Rechercher des événements de sécurité dans les fichiers journaux à l’aide de KQL
Filtrer les recherches en fonction de l’heure de l’événement, de la gravité, du domaine et d’autres données pertinentes à l’aide de KQL

Prérequis

Aucune

Introduction min
Comprendre la structure des instructions du langage de requête Kusto min
Utiliser l’opérateur de recherche min
Utiliser l’opérateur where min
Utiliser l’instruction Let min
Utiliser l’opérateur extend min
Utiliser l’ordre par opérateur min
Utiliser les opérateurs de projet min
Contrôle des connaissances min
Récapitulatif et ressources min