Introduction
A Microsoft Sentinel táblákban tárolt naplóadatokat gyűjt. A Microsoft Sentinel Naplók lapja felhasználói felületet biztosít a lekérdezési eredmények létrehozásához és megtekintéséhez a Kusto lekérdezésnyelv (KQL) használatával. A KQL az a lekérdezési nyelv, amellyel adatelemzést végezhet elemzések, munkafüzetek és a Microsoft Sentinellel végzett vadászatok létrehozásához.
Ön biztonsági üzemeltetési elemző, aki a Microsoft Sentinelt implementáló vállalatnál dolgozik. Meg kell vizsgálnia a munkaterületen elérhető táblákat. A Naplók lap a Microsoft Sentinel használatával lehetővé teszi Kusto lekérdezésnyelv (KQL) utasítások írását a táblákban tárolt adatok megtekintéséhez. Amikor naplóadatokat csatlakoztat a Microsoft Sentinel-munkaterülethez, az összekötők adatokat írnak adott táblákba.
Ismernie kell a megadott táblákat és azok rendeltetését. A "SecurityEvents" tábla például Windows biztonság eseménynapló-adatokhoz készült. Ezzel a tudással lekérdezheti a kártékony tevékenységek kereséséhez szükséges táblákat.
A modul befejezését követően az alábbiakra lesz képes:
- Adattáblák megtekintése a Naplók lapon a Microsoft Sentinellel
- A leggyakrabban használt táblák lekérdezése a Microsoft Sentinel használatával
Előfeltételek
A működési fogalmak, például a monitorozás, a naplózás és a riasztások kezelésének alapszintű ismerete