簡介
Microsoft Sentinel 會收集儲存在資料表中的記錄資料。 Microsoft Sentinel 中的 [記錄] 頁面提供可使用 Kusto 查詢語言 (KQL) 來建置和檢視查詢結果的使用者介面。 KQL 是用來執行資料分析的查詢語言,可建立分析、活頁簿,並使用 Microsoft Sentinel 執行搜捕。
您是安全性作業分析師,任職的公司正在導入 Microsoft Sentinel。 您必須探索工作區中可用的資料表。 Microsoft Sentinel 中的 [記錄] 頁面可讓您撰寫 Kusto 查詢語言 (KQL) 陳述式,以檢視儲存在資料表中的資料。 當您將記錄資料連線到 Microsoft Sentinel 工作區時,連接器會將資料寫入特定資料表。
您必須對提供的資料表及其用途有基本的瞭解。 例如,「SecurityEvents」資料表是針對 Windows 安全性事件記錄檔資料而設計的。 有了此知識,您就可以查詢所需的資料表,以便在搜尋惡意活動時使用。
完成本單元後,您將能夠:
- 透過 Microsoft Sentinel,使用 [記錄] 頁面來檢視資料的資料表
- 使用 Microsoft Sentinel 查詢最常使用的資料表
必要條件
操作概念的基本知識,例如監視、記錄及警示