Frågor för tabellen AlertInfo

Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.

Aviseringar från MITRE ATT&CK-teknik

Lista antalet aviseringar efter MITRE ATT&CK-teknik i fallande ordning.

AlertInfo
| where isnotempty(AttackTechniques)
| mvexpand todynamic(AttackTechniques) to typeof(string)
| summarize AlertCount = dcount(AlertId) by AttackTechniques
| sort by AlertCount desc