はじめに
Microsoft Sentinel により、テーブルに格納されているログ データが収集されます。 Microsoft Sentinel の [ログ] ページには、Kusto クエリ言語 (KQL) を使用してクエリ結果を構築および表示するためのユーザー インターフェイスが用意されています。 KQL は、Microsoft Sentinel で分析やブックを作成したり、ハンティングを実行するための、データ分析の実行に使用するクエリ言語です。
あなたは、Microsoft Sentinel を実装しようとしている会社で働いているセキュリティ運用アナリストです。 ワークスペースで使用できるテーブルを調べる必要があります。 Microsoft Sentinel の [ログ] ページでは、Kusto クエリ言語 (KQL) ステートメントを記述して、テーブルに格納されているデータを表示できます。 ログ データを Microsoft Sentinel ワークスペースに接続すると、コネクタによって特定のテーブルにデータが書き込まれます。
用意されているテーブルとその用途について基本を理解する必要があります。 たとえば、"SecurityEvents" テーブルは、Windows セキュリティ イベント ログ データ用に設計されています。 この知識があれば、悪意のあるアクティビティの検索で使用する、必要なテーブルをクエリできます。
このモジュールを終了すると、次のことができるようになります。
- [ログ] ページを使用して、Microsoft Sentinel のデータ テーブルを表示する
- Microsoft Sentinel を使用して、最もよく使用するテーブルのクエリを実行する
前提条件
監視、ログ記録、アラートなどの運用上の概念に関する基本的な知識