Introduzione
Microsoft Sentinel raccoglie i dati di log archiviati nelle tabelle. La pagina Log in Microsoft Sentinel rappresenta un'interfaccia utente in cui compilare e visualizzare i risultati delle query usando il linguaggio di query Kusto (KQL). KQL è il linguaggio di query usato per eseguire analisi dei dati in modo da creare analisi e cartelle di lavoro e mettere in atto un processo di ricerca in Microsoft Sentinel.
L'utente agisce in qualità di Security Operations Analyst presso un'azienda che sta implementando Microsoft Sentinel. è necessario esplorare le tabelle disponibili nell'area di lavoro. La pagina Log in Microsoft Sentinel consente di scrivere istruzioni KQL (Kusto Query Language) per visualizzare i dati archiviati nelle tabelle. Quando si connettono i dati di log all'area di lavoro di Azure Sentinel, i connettori scrivono i dati in tabelle specifiche.
È necessario avere una conoscenza di base delle tabelle fornite e dello scopo designato. La tabella "SecurityEvents", ad esempio, è progettata per i dati del registro eventi di sicurezza di Windows. Con queste informazioni, sarà possibile eseguire una query sulle tabelle richieste da usare nella ricerca di attività dannose.
Al termine di questo modulo si sarà in grado di:
- Usare la pagina Log per visualizzare le tabelle dati con Microsoft Sentinel
- Eseguire query sulle tabelle più usate con Microsoft Sentinel
Prerequisiti
Conoscenza di base di concetti operativi quali monitoraggio, registrazione e avvisi