Introduction
Microsoft Azure Sentinel recueille des données de journal stockées dans des tables. La page Journaux dans Microsoft Azure Sentinel fournit une interface utilisateur qui permet de générer et d’afficher des résultats de requête à l’aide du langage de requête Kusto (KQL). KQL est le langage de requête utilisé pour effectuer une analyse des données afin de créer des analyses et classeurs, et de mener un repérage avec Microsoft Sentinel.
Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise qui implémente Microsoft Sentinel. Vous devez explorer les tables disponibles dans votre espace de travail. La page Journaux dans Microsoft Sentinel vous permet d’écrire des instructions KQL (langage de requête Kusto) pour voir les données stockées dans les tables. Lorsque vous connectez des données de journal à l’espace de travail Microsoft Azure Sentinel, les connecteurs écrivent des données dans des tables spécifiques.
Vous devez avoir une compréhension de base des tables fournies et de leur rôle prévu. Par exemple, la table « SecurityEvents » est conçue pour les données du journal des événements de sécurité Windows. Avec ces informations, vous serez en mesure d’interroger les tables nécessaires à utiliser dans votre recherche d’activités malveillantes.
À l’issue de ce module, vous pourrez :
- Utiliser la page Journaux pour voir les tables de données avec Microsoft Sentinel
- Interroger les tables les plus utilisées à l’aide de Microsoft Azure Sentinel
Prérequis
Connaissance de base des concepts opérationnels comme la supervision, la journalisation et les alertes