Wprowadzenie
Usługa Microsoft Sentinel zbiera dane dziennika przechowywane w tabelach. Strona Dzienniki w usłudze Microsoft Sentinel udostępnia interfejs użytkownika umożliwiający tworzenie i wyświetlanie wyników zapytań przy użyciu język zapytań Kusto (KQL). KQL to język zapytań używany do przeprowadzania analizy danych w celu tworzenia analiz, skoroszytów i wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel.
Jesteś analitykiem operacji zabezpieczeń pracującym w firmie, która implementuje usługę Microsoft Sentinel. Musisz eksplorować tabele dostępne w obszarze roboczym. Strona Dzienniki korzystająca z usługi Microsoft Sentinel umożliwia zapisywanie instrukcji język zapytań Kusto (KQL) w celu wyświetlania danych przechowywanych w tabelach. Po połączeniu danych dziennika z obszarem roboczym usługi Microsoft Sentinel łączniki będą zapisywać dane w określonych tabelach.
Musisz mieć podstawową wiedzę na temat podanych tabel i ich zamierzonego celu. Na przykład tabela "SecurityEvents" jest przeznaczona dla Zabezpieczenia Windows danych dziennika zdarzeń. Dzięki tej wiedzy będziesz mieć możliwość wykonywania zapytań dotyczących wymaganych tabel do użycia w wyszukiwaniu złośliwego działania.
Po ukończeniu tego modułu będziesz mieć następujące umiejętności:
- Wyświetlanie tabel danych za pomocą strony Dzienniki w usłudze Microsoft Sentinel
- Wykonywanie zapytań dotyczących najczęściej używanych tabel przy użyciu usługi Microsoft Sentinel
Wymagania wstępne
Podstawowa wiedza na temat pojęć operacyjnych takich jak monitorowanie, rejestrowanie i alerty