Recursos úteis para trabalhar com Kusto Query Language no Microsoft Sentinel

O Microsoft Sentinel usa o ambiente Log Analytics do Azure Monitor e a Kusto Query Language (KQL) para criar as consultas subjacentes a grande parte da funcionalidade do Sentinel, de regras de análise a pastas de trabalho e caça. Este artigo lista recursos que podem ajudá-lo a trabalhar com a Kusto Query Language, o que lhe dará mais ferramentas para trabalhar com o Microsoft Sentinel, seja como engenheiro de segurança ou analista.

Recursos técnicos da Microsoft

Documentação do Microsoft Sentinel

• Linguagem de consulta Kusto no Microsoft Sentinel

Documentação do Azure Monitor

• Tutorial: Usar consultas Kusto
• Introdução às consultas KQL
• Melhores práticas de consulta

Guias de referência

• Guia de referência rápida do KQL
• SQL para Kusto cheat sheet
• Splunk para Kusto Query Language mapa

Módulos do Microsoft Sentinel Learn

• Escreva sua primeira consulta com Kusto Query Language
• Caminho de aprendizagem SC-200: Criar consultas para o Microsoft Sentinel usando Kusto Query Language (KQL)

Outros recursos

Blogs da Microsoft TechCommunity

• Advanced KQL Framework Workbook - Capacitando-o para se tornar conhecedor do KQL (inclui webinar)
• Usando funções KQL para acelerar a análise no Azure Sentinel (nível avançado)
• Série de blogs de Ofer Shezaf sobre regras de correlação usando operadores KQL:
  • Regras de correlação do Azure Sentinel: Ative Lists out, make_list() in: o exemplo de correlação AAD/AWS
  • Regras de correlação do Azure Sentinel: o operador KQL de associação
  • Implementando pesquisas no Azure Sentinel
  • Pesquisas aproximadas, parciais e combinadas no Azure Sentinel

Recursos de formação e qualificação

• Série Must Learn KQL de Rod Trent
• Formação Pluralsight: Kusto Query Language from Scratch
• Ambiente de demonstração do Log Analytics

Próximos passos

Seja certificado!

Leia histórias de casos de uso de clientes