Запросы для таблицы AlertInfo

Сведения об использовании этих запросов в портал Azure см. в руководстве по Log Analytics. Сведения о REST API см. в разделе "Запрос".

Оповещения по методу MITRE ATT&CK

Список оповещений методом MITRE ATT&CK в порядке убывания.

AlertInfo
| where isnotempty(AttackTechniques)
| mvexpand todynamic(AttackTechniques) to typeof(string)
| summarize AlertCount = dcount(AlertId) by AttackTechniques
| sort by AlertCount desc