Användbara resurser för att arbeta med Kusto-frågespråk i Microsoft Sentinel

Microsoft Sentinel använder Azure Monitors Log Analytics-miljö och Kusto-frågespråk (KQL) för att skapa frågor som undergird mycket av dess funktioner, från analysregler till arbetsböcker till jakt. Den här artikeln innehåller resurser som kan hjälpa dig att arbeta med Kusto-frågespråk, vilket ger dig fler verktyg för att arbeta med Microsoft Sentinel, oavsett om du är säkerhetstekniker eller analytiker.

Microsofts tekniska resurser

Dokumentation om Microsoft Sentinel

• Kusto-frågespråk i Microsoft Sentinel

Kusto-dokumentation

• Kusto-frågespråk utbildningsresurser
• Självstudie: Lär dig vanliga operatorer
• Självstudie: Använda sammansättningsfunktioner
• Självstudie: Koppla data från flera tabeller
• Kom igång med KQL-frågor (Dokumentation om Azure Monitor)
• Metodtips för Kusto-frågespråk frågor

Referensguider

• Snabbreferensguide för KQL
• SQL till Kusto-fuskark
• Splunk till Kusto-frågespråk karta

Microsoft Sentinel Learn-moduler

• Skriv din första fråga med Kusto-frågespråk
• Utbildningsväg SC-200: Skapa frågor för Microsoft Sentinel med hjälp av Kusto-frågespråk (KQL)

Andra resurser

Microsoft TechCommunity-bloggar

• Avancerad KQL Framework-arbetsbok – Ger dig möjlighet att bli KQL-kunnig (inklusive webbseminarier)
• Använda KQL-funktioner för att påskynda analysen i Azure Sentinel (avancerad nivå)
• Ofer Shezafs bloggserie om korrelationsregler med KQL-operatorer:
  • Korrelationsregler för Azure Sentinel: Aktiva listor ut, make_list() i: korrelationsexemplet AAD/AWS
  • Korrelationsregler för Azure Sentinel: KQL-operatorn join
  • Implementera sökningar i Azure Sentinel
  • Ungefärliga, partiella och kombinerade sökningar i Azure Sentinel

Utbildnings- och kompetensresurser

• Rod Trents Must Learn KQL-serie
• Pluralsight-träning: Kusto-frågespråk från grunden
• Log Analytics-demomiljö

Nästa steg

Bli certifierad!

Läsa kundanvändningsfallberättelser