Einleitung

  • 3 Minuten

Microsoft Sentinel sammelt Protokolldaten, die in Tabellen gespeichert sind. Die Protokollseite in Microsoft Sentinel bietet eine Benutzeroberfläche zum Erstellen und Anzeigen von Abfrageergebnissen mithilfe der Kusto Query Language (KQL). KQL ist die Abfragesprache, die verwendet wird, um Datenanalysen durchzuführen, um Analysen, Arbeitsmappen und Suchvorgänge mit Microsoft Sentinel zu erstellen.

Sie sind Ein Security Operations Analyst, der an einem Unternehmen arbeitet, das Microsoft Sentinel implementiert. Sie müssen die tabellen erkunden, die in Ihrem Arbeitsbereich verfügbar sind. Sie verwenden die Seite Protokolle in Microsoft Sentinel im Azure-Portalsowie erweiterte Such- und Datenseeseiten, die im Defender-Portal verfügbar sind, um Kusto Query Language (KQL)-Anweisungen zu schreiben, um in den Tabellen gespeicherte Daten anzuzeigen. Wenn Sie Protokolldaten mit dem Microsoft Sentinel-Arbeitsbereich verbinden, schreiben die Connectors Daten in bestimmte Tabellen.

Sie müssen über ein grundlegendes Verständnis der bereitgestellten Tabellen und deren beabsichtigten Zweck verfügen. Die Tabelle "SecurityEvents" ist beispielsweise für Windows-Sicherheitsereignisprotokolldaten ausgelegt. Mit diesem Wissen können Sie die erforderlichen Tabellen abfragen, die in Ihrer Suche nach schädlichen Aktivitäten verwendet werden sollen.

Nach Abschluss dieses Moduls werden Sie zu Folgendem in der Lage sein:

  • Verwenden der Protokollseite zum Anzeigen von Datentabellen mit Microsoft Sentinel
  • Abfragen der am häufigsten genutzten Tabellen mit Microsoft Sentinel

Voraussetzungen

Grundkenntnisse zu operativen Konzepten, wie z. B. Überwachung, Protokollierung und Warnungen

Von Bedeutung

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.

Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.

Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".