Query per la tabella AlertInfo

Per informazioni sull'uso di queste query nella portale di Azure, vedere Esercitazione su Log Analytics. Per l'API REST, vedere Query.

Avvisi per tecnica MITRE ATT&CK

Elencare il numero di avvisi in base alla tecnica MITRE ATT&CK in ordine decrescente.

AlertInfo
| where isnotempty(AttackTechniques)
| mvexpand todynamic(AttackTechniques) to typeof(string)
| summarize AlertCount = dcount(AlertId) by AttackTechniques
| sort by AlertCount desc