Einführung
Microsoft Sentinel sammelt Protokolldaten und speichert sie in Tabellen. Die Seite „Protokolle“ in Microsoft Sentinel stellt eine Benutzeroberfläche bereit, auf der Abfrageergebnisse mithilfe der Kusto-Abfragesprache (Kusto Query Language, KQL) erstellt und abgefragt werden können. KQL ist die Abfragesprache für die Datenanalyse zum Erstellen von Analysen und Arbeitsmappen sowie zum Durchführen von Hunting in Microsoft Sentinel.
Sie sind Security Operations Analyst in einem Unternehmen, das Microsoft Sentinel implementiert. Sie müssen die in Ihrem Arbeitsbereich verfügbaren Tabellen erkunden. Auf der Seite „Protokolle“ mit Microsoft Sentinel können Sie KQL-Anweisungen schreiben, um die in den Tabellen gespeicherten Daten anzuzeigen. Wenn Sie Protokolldaten mit dem Microsoft Sentinel-Arbeitsbereich verbinden, schreiben die Connectors Daten in bestimmte Tabellen.
Sie müssen über ein grundlegendes Verständnis der bereitgestellten Tabellen und ihres vorgesehenen Zwecks verfügen. Beispielsweise ist die Tabelle „SecurityEvents“ für Protokolldaten für Windows-Sicherheitsereignisse konzipiert. Mit diesem Wissen können Sie die erforderlichen Tabellen abfragen, um sie bei der Suche nach schädlichen Aktivitäten zu verwenden.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Verwenden der Seite „Protokolle“ zum Anzeigen von Datentabellen in Microsoft Sentinel
- Abfragen der am häufigsten genutzten Tabellen mit Microsoft Sentinel
Voraussetzungen
Grundkenntnisse zu operativen Konzepten, wie z. B. Überwachung, Protokollierung und Warnungen