Introdução
O Microsoft Azure Sentinel coleta dados de log que são armazenados em tabelas. A página de Logs do Microsoft Azure Sentinel oferece uma interface do usuário para compilar e exibir os resultados da consulta KQL (Kusto Query Language). KQL é a linguagem de consulta usada para realizar análises de dados com o objetivo de criar análises e pastas de trabalho e realizar buscas com o Microsoft Sentinel.
Você trabalha como analista de operações de segurança em uma empresa que está implementando o Microsoft Azure Sentinel. Você precisa explorar as tabelas disponíveis no seu workspace. A página de Logs, usando o Microsoft Sentinel, permite que você grave instruções KQL para exibir dados armazenados nas tabelas. Ao conectar dados de log ao workspace do Microsoft Azure Sentinel, os conectores gravarão dados em tabelas específicas.
Você precisa ter um conhecimento básico sobre essas tabelas e entender para que elas servem. Por exemplo, a tabela "SecurityEvents" foi projetada para dados de log de eventos de segurança do Windows. Sabendo disso, será possível consultar as tabelas necessárias em sua pesquisa por atividades mal-intencionadas.
Depois de concluir este módulo, você poderá:
- Usar a página de logs para exibir tabelas de dados no Microsoft Sentinel
- Consultar as tabelas mais usadas com o Microsoft Azure Sentinel
Pré-requisitos
Conhecimento básico de conceitos operacionais, como monitoramento, registro em log e alertas