SC-200, Teil 4: Erstellen von Abfragen für Azure Sentinel mithilfe der Kusto-Abfragesprache (KQL)

Fortgeschrittene Anfänger
Security Operations Analyst
Azure
Sentinel

Schreiben Sie die KQL-Anweisungen (Kusto Query Language, Kusto-Abfragesprache) zum Abfragen von Protokolldaten, um Erkennungen, Analysen und Berichte in Azure Sentinel auszuführen. Dieser Lernpfad konzentriert sich auf die am häufigsten verwendeten Operatoren. In den KQL-Beispielanweisungen werden sicherheitsbezogene Tabellenabfragen vorgestellt.

Voraussetzungen

Grundlegendes Verständnis der Konzepte zur Skripterstellung.

Module in diesem Lernpfad

KQL ist die Abfragesprache, die der Untersuchung von Daten zum Erstellen von Analysen und Arbeitsmappen sowie der Ausführung von Huntingvorgängen in Azure Sentinel dient. Im Folgenden finden Sie Informationen darüber, wie Sie mithilfe der grundlegenden KQL-Anweisungsstruktur komplexe Anweisungen erstellen.

Hier erfahren Sie, wie Sie Daten in einer KQL-Anweisung zusammenfassen und visualisieren. Dies ist die Grundlage zum Erstellen von Erkennungen in Azure Sentinel.

Hier erfahren Sie, wie Sie mit KQL mit mehreren Tabellen arbeiten.

Erfahren Sie, wie Sie mithilfe der Kusto-Abfragesprache (Kusto Query Language, KQL) aus Protokollquellen erfasste Zeichenfolgendaten bearbeiten.