Criar instruções KQL para o Microsoft Azure Sentinel

Módulo
10 Unidades

Intermediário

Analista de Operações de Segurança

Microsoft Defender XDR

Azure Data Explorer

Azure Log Analytics

Microsoft Sentinel

Kusto Query Language (KQL) é a linguagem de consulta usada para executar análises de dados para criar análises, pastas de trabalho e executar buscas no Microsoft Sentinel. Saiba como a estrutura básica de instrução de KQL fornece a base para criar instruções mais complexas.

Objetivos de aprendizagem

Após a conclusão deste módulo, o estudante poderá:

Criar as instruções de KQL
Pesquisar os arquivos de log para eventos de segurança usando o KQL
Filtrar as pesquisas com base na hora do evento, gravidade, domínio e outros dados relevantes usando o KQL

Pré-requisitos

Nenhum

Introdução min
Compreender a estrutura da instrução de Kusto Query Language min
Usar o operador search min
Usar o operador where min
Usar a instrução let min
Usar o operador extend min
Usar o operador order by min
Usar os operadores project min
Verificação de conhecimentos min
Resumo e recursos min