简介
Microsoft Sentinel 收集存储在表中的日志数据。 Microsoft Sentinel 中的“日志”页面提供了一个用户界面,在其中可以使用 Kusto 查询语言 (KQL) 生成和查看查询结果。 KQL 是用于执行数据分析,以使用 Microsoft Sentinel 创建分析、工作簿和执行搜寻的查询语言。
你是一位安全运营分析师,你所在公司正在实现 Microsoft Sentinel。 你需要浏览工作区中可用的表。 “日志”页面使用 Microsoft Sentinel 让你可以编写 Kusto 查询语言 (KQL) 语句来查看存储在表中的数据。 将日志数据连接到 Microsoft Sentinel 工作区时,连接器会将数据写入特定表。
你需要对所提供的表及其预期用途有基本的了解。 例如,“SecurityEvents”表适用于 Windows 安全事件日志数据。 了解这一点后,你将能够查询所需的表,以便在搜索恶意活动时使用。
完成此模块后,你将能够:
- 使用“日志”页面和 Microsoft Sentinel 查看数据表
- 使用 Microsoft Sentinel 查询使用量最大的表
先决条件
操作概念的基本知识,如监视、日志记录和警报