Полезные ресурсы для работы с языком запросов Kusto в Microsoft Sentinel
Microsoft Sentinel использует среду Log Analytics Azure Monitor и язык запросов Kusto (KQL) для создания запросов, которые выполняют большую часть своей функциональности, от правил аналитики до книг для охоты. В этой статье перечислены ресурсы, которые помогут вам при работе с язык запросов Kusto, предоставляя вам дополнительные средства для работы с Microsoft Sentinel, будь то инженер по безопасности или аналитик.
Технические ресурсы Майкрософт
Документация по Microsoft Sentinel
Документация по Kusto
- язык запросов Kusto учебные ресурсы
- Руководство. Изучение распространенных операторов
- Руководство. Использование функций агрегирования
- Руководство. Присоединение данных из нескольких таблиц
- Начало работы с запросами KQL (документация по Azure Monitor)
- Рекомендации по язык запросов Kusto запросам
Справочные руководства
- Краткое справочное руководство по языку запросов Kusto
- Памятка по SQL в Kusto
- Схема языка запросов Splunk в Kusto
Модули Learn, посвященные Microsoft Sentinel
- Написание первого запроса с помощью язык запросов Kusto
- Схема обучения SC-200. Создание запросов для Microsoft Sentinel с помощью языка запросов Kusto (KQL)
Другие ресурсы
Блоги технического сообщества Майкрософт
- Книга по расширенной платформе KQL — освоение тонкостей языка KQL (с вебинаром)
- Использование функций KQL для ускорения анализа в Azure Sentinel (продвинутый уровень)
- Серия блогов Ofer Shezaf по правилам корреляции с помощью операторов KQL:
Ресурсы для обучения и развития навыков
- Серия "Изучаем KQL" Рода Трента (Rod Trent)
- Pluralsight: изучение языка запросов Kusto с нуля
- Демонстрационная среда Log Analytics