Microsoft Sentinel で Kusto 照会言語を操作するための便利なリソース

Microsoft Sentinel では、Azure Monitor の Log Analytics 環境と Kusto 照会言語 (KQL) を使用して、分析ルールからブック、ハンティングまで、その機能の大部分を損なうクエリを作成します。 この記事では、Kusto 照会言語のスキルアップに役立つリソースの一覧を示します。セキュリティ エンジニアでもアナリストでも、Microsoft Sentinel と連携するためのツールが追加されています。

Microsoft の技術リソース

Microsoft Sentinel のドキュメント

• Microsoft Sentinel の Kusto 照会言語

Kusto のドキュメント

• Kusto 照会言語の学習リソース
• チュートリアル: 一般的な演算子について学習する
• チュートリアル: 集計関数を使用する
• チュートリアル: 複数のテーブルのデータを結合する
• KQL クエリの概要 (Azure Monitor のドキュメント)
• Kusto 照会言語 クエリのベスト プラクティス

リファレンス ガイド

• KQL のクイック リファレンス ガイド
• SQL から Kusto のチート シート
• Splunk から Kusto クエリ言語へのマップ

Microsoft Sentinel の学習モジュール

• Kusto クエリ言語を使って最初のクエリを作成する
• ラーニング パス SC-200: Kusto 照会言語 (KQL) を使用して Microsoft Sentinel のクエリを作成する

その他のリソース

Microsoft 技術者コミュニティのブログ

• 高度な KQL フレームワーク ブック - KQL に精通することを支援 (ウェビナーを含む)
• Azure Sentinel の分析を高速化する KQL 関数の使用 (高度なレベル)
• Ofer Shezaf による KQL 演算子を使用した相関ルールに関するブログ シリーズ:
  • Azure Sentinel 相関ルール: Active Lists の出力、make_list () の入力: AAD、AWS の相関関係の例
  • Azure Sentinel 相関ルール: join KQL 演算子
  • Azure Sentinel での検索の実装
  • Azure Sentinel での概数、部分的、結合された参照

トレーニングとスキルアップのリソース

• Rod Trent の Must Learn KQL シリーズ
• Pluralsight トレーニング: ゼロから始める Kusto 照会言語
• Log Analytics デモ環境

次のステップ