Nuttige bronnen voor het werken met Kusto-querytaal in Microsoft Sentinel

Microsoft Sentinel maakt gebruik van de Log Analytics-omgeving van Azure Monitor en de Kusto-querytaal (KQL) om de query's te bouwen die veel van de functionaliteit van Sentinel onderbouwen, van analyseregels tot werkmappen en opsporing. In dit artikel vindt u bronnen die u kunnen helpen bij het werken met Kusto-querytaal, waarmee u meer hulpprogramma's krijgt om met Microsoft Sentinel te werken, of dit nu een beveiligingstechnicus of analist is.

Technische bronnen van Microsoft

Documentatie over Azure Sentinel

• Kusto-querytaal in Microsoft Sentinel

Documentatie voor Azure Monitor

• Zelfstudie: Kusto-query's gebruiken
• Aan de slag met KQL-query's
• Aanbevolen procedures voor query’s

Naslaggidsen

• Snelzoekgids voor KQL
• Cheatsheet voor conversie van SQL naar Kusto
• Splunk naar Kusto-querytaal kaart

Microsoft Sentinel Learn-modules

• Uw eerste query schrijven met Kusto-querytaal
• Leertraject SC-200: Query's maken voor Microsoft Sentinel met behulp van Kusto-querytaal (KQL)

Meer informatie

Microsoft TechCommunity-blogs

• Geavanceerde KQL Framework-werkmap - U in staat stellen KQL-onderlegd te worden (inclusief webinar)
• KQL-functies gebruiken om analyse in Azure Sentinel te versnellen (geavanceerd niveau)
• De blogreeks van Ofer Shezaf over correlatieregels met behulp van KQL-operators:
  • Azure Sentinel-correlatieregels: Active Lists out, make_list() in: het voorbeeld van AAD/AWS-correlatie
  • Azure Sentinel-correlatieregels: de KQL-operator join
  • Zoekacties implementeren in Azure Sentinel
  • Geschatte, gedeeltelijke en gecombineerde zoekopdrachten in Azure Sentinel

Trainings- en vaardigheidsresources

• Rod Trent's Must Learn KQL serie
• Pluralsight-training: volledig Kusto-querytaal
• Log Analytics-demoomgeving

Volgende stappen

Word gecertificeerd!

Use-caseverhalen van klanten lezen