Inledning

  • 3 minuter

Microsoft Sentinel samlar in loggdata som lagras i tabeller. Sidan Loggar i Microsoft Sentinel innehåller ett användargränssnitt för att skapa och visa frågeresultat med hjälp av KQL (Kusto Query Language). KQL är det frågespråk som används för att utföra dataanalys för att skapa analyser, arbetsböcker och utföra jakt med Microsoft Sentinel.

Du är säkerhetsanalytiker och arbetar på ett företag som implementerar Microsoft Sentinel. Du måste utforska tabellerna som är tillgängliga på din arbetsyta. Du använder sidan Loggar i Microsoft Sentinel i Azure-portalen, och Avancerad jakt-sidan samt Data lake-sidorna i Defender-portalen för att skriva frågesatser i Kusto Query Language (KQL) och visa data som lagras i tabellerna. När du kopplar loggdata till Microsoft Sentinel-arbetsytan skriver anslutningskomponenterna data till specifika tabeller.

Du måste ha en grundläggande förståelse för de angivna tabellerna och deras avsedda syfte. Tabellen "SecurityEvents" är till exempel utformad för Händelseloggdata för Windows-säkerhet. Med den här kunskapen kan du köra frågor mot de tabeller som krävs för att använda i din sökning efter skadlig aktivitet.

När du har slutfört den här modulen kan du:

  • Använd sidan Loggar för att visa datatabeller med Microsoft Sentinel
  • Fråga de mest använda tabellerna med Hjälp av Microsoft Sentinel

Förutsättningar

Grundläggande kunskaper om operativa begrepp som övervakning, loggning och aviseringar

Viktigt!

Microsoft Sentinel är allmänt tillgängligt i Microsoft Defender-portalen, inklusive för kunder utan Microsoft Defender XDR eller en E5-licens.

Från och med juli 2026 omdirigeras alla kunder som använder Microsoft Sentinel i Azure-portalen till Defender-portalen och kommer endast att använda Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure-portalen rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinels Azure-portal för ökad säkerhet).