Inleiding
Microsoft Sentinel verzamelt logboekgegevens die zijn opgeslagen in tabellen. De pagina Logboeken in Microsoft Sentinel biedt een gebruikersinterface voor het bouwen en weergeven van queryresultaten met behulp van de Kusto-querytaal (KQL). KQL is de querytaal die wordt gebruikt om gegevensanalyse uit te voeren om analyses, werkmappen te maken en opsporing uit te voeren met Microsoft Sentinel.
U bent een Security Operations Analyst die werkt bij een bedrijf dat Microsoft Sentinel implementeert. U moet de tabellen verkennen die beschikbaar zijn in uw werkruimte. Op de pagina Logboeken met Behulp van Microsoft Sentinel kunt u Kusto-querytaal (KQL)-instructies schrijven om gegevens weer te geven die zijn opgeslagen in de tabellen. Wanneer u logboekgegevens verbindt met de Microsoft Sentinel-werkruimte, schrijven de connectors gegevens naar specifieke tabellen.
U moet basiskennis hebben van de opgegeven tabellen en het beoogde doel ervan. De tabel SecurityEvents is bijvoorbeeld ontworpen voor Windows-beveiliging gebeurtenislogboekgegevens. Met deze kennis kunt u een query uitvoeren op de vereiste tabellen die u kunt gebruiken in uw zoekopdracht naar schadelijke activiteiten.
Als u deze module hebt voltooid, kunt u het volgende:
- De pagina Logboeken gebruiken om gegevenstabellen weer te geven met Microsoft Sentinel
- Query's uitvoeren op de meest gebruikte tabellen met Behulp van Microsoft Sentinel
Vereisten
Basiskennis van operationele concepten, zoals controle, logboekregistratie en waarschuwingen