Skapa KQL-instruktioner för Microsoft Sentinel

Modul
10 Enheter

Medel

Security Operations Analyst

Microsoft Defender XDR

Azure Data Explorer

Azure Log Analytics

Microsoft Sentinel

Kusto-frågespråk (KQL) är det frågespråk som används för att analysera data för att skapa analyser, arbetsböcker och utföra jakt i Microsoft Sentinel. Lär dig hur grundläggande KQL-instruktionsstruktur utgör grunden för att skapa mer komplexa instruktioner.

Utbildningsmål

När den här modulen har slutförts kan eleven:

Skapa KQL-instruktioner
Sök i loggfiler efter säkerhetshändelser med KQL
Filtrera sökningar baserat på händelsetid, allvarlighetsgrad, domän och andra relevanta data med KQL

Förutsättningar

Ingen

Introduktion min
Förstå Kusto-frågespråk-instruktionsstrukturen min
Använda sökoperatorn min
Använd operatorn where min
Använda let-instruktionen min
Använda extend-operatorn min
Använd ordningen efter operator min
Använda projektoperatorerna min
Kunskapstest min
Sammanfattning och resurser min