Costruire istruzioni KQL per Microsoft Sentinel

Modulo
10 Unità

Intermedio

Analista delle operazioni di sicurezza

Microsoft Defender XDR

Esplora dati di Azure

Azure Log Analytics

Microsoft Sentinel

Kusto (KQL) è il linguaggio di query usato per eseguire analisi sui dati in modo da creare analisi e cartelle di lavoro e mettere in atto un processo di ricerca in Microsoft Sentinel. Di seguito viene descritto come la struttura di base delle istruzioni KQL pone le basi per la creazione di istruzioni più complesse.

Obiettivi di apprendimento

Al termine del modulo, si sarà in grado di:

Costruire istruzioni KQL
Cercare gli eventi di sicurezza nei file di log usando KQL
Filtrare le ricerche in base all'ora dell'evento, alla gravità, al dominio e ad altri dati pertinenti usando KQL

Prerequisiti

None

Introduzione min
Informazioni sulla struttura delle istruzioni KQL min
Usare l'operatore search min
Usare l'operatore where min
Usare l'istruzione let min
Usare l'operatore extend min
Usare l'operatore order by min
Usare gli operatori project min
Verifica delle conoscenze min
Riepilogo e risorse min