Введение
Microsoft Sentinel собирает данные журнала, хранящиеся в таблицах. Страница "Журналы" в Microsoft Sentinel предоставляет пользовательский интерфейс для создания и просмотра результатов запроса с помощью языка запросов Kusto (KQL). KQL — это язык запросов, используемый для анализа данных для аналитики, книг и охоты на угрозы с помощью Microsoft Sentinel.
Вы — аналитик по информационной безопасности, работающий в компании, внедряющей Microsoft Sentinel. Вы должны изучить таблицы, доступные в вашей рабочей области. Страница "Журналы" в Microsoft Sentinel позволяет создавать инструкции на языке запросов Kusto (KQL) для просмотра данных, хранящихся в таблицах. При подключении данных журнала к рабочей области Microsoft Sentinel соединители будут записывать данные в определенные таблицы.
Необходимо иметь базовое представление о предоставляемых таблицах и их предполагаемом назначении. Например, таблица SecurityEvents предназначена для данных журнала событий безопасности Windows. С помощью этих знаний вы сможете запрашивать необходимые таблицы для использования при поиске вредоносных действий.
По завершении этого модуля вы сможете:
- Использование страницы "Журналы" для просмотра таблиц данных с помощью Microsoft Sentinel
- Запрос наиболее часто используемых таблиц с помощью Microsoft Sentinel
Необходимые компоненты
Базовые знания о таких концепциях функционирования, как мониторинг, ведение журнала и оповещения