Wprowadzenie

  • 3 min

Usługa Microsoft Sentinel zbiera dane dziennika przechowywane w tabelach. Strona Dzienniki w usłudze Microsoft Sentinel udostępnia interfejs użytkownika umożliwiający tworzenie i wyświetlanie wyników zapytań przy użyciu języka Kusto Query Language (KQL). KQL to język zapytań używany do przeprowadzania analizy danych w celu tworzenia analiz, skoroszytów i wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel.

Jesteś analitykiem operacji zabezpieczeń pracującym w firmie, która implementuje usługę Microsoft Sentinel. Musisz eksplorować tabele dostępne w obszarze roboczym. Strony Dzienniki w usłudze Microsoft Sentinel, zaawansowanego wyszukiwania oraz Data Lake dostępne w witrynie Azure Portal i portalu usługi Defender są używane do pisania instrukcji w Języku zapytań Kusto (KQL) w celu przeglądania danych przechowywanych w tabelach. Po połączeniu danych dziennika z obszarem roboczym usługi Microsoft Sentinel łączniki zapisują dane do określonych tabel.

Musisz mieć podstawową wiedzę na temat podanych tabel i ich zamierzonego celu. Na przykład tabela "SecurityEvents" jest przeznaczona dla danych dziennika zdarzeń zabezpieczeń systemu Windows. Dzięki tej wiedzy możesz wykonywać zapytania dotyczące wymaganych tabel do użycia w wyszukiwaniu złośliwego działania.

Po ukończeniu tego modułu będziesz mieć następujące umiejętności:

  • Użyj strony Dzienniki, aby wyświetlać tabelki danych w usłudze Microsoft Sentinel.
  • Wykonywanie zapytań dotyczących najczęściej używanych tabel przy użyciu usługi Microsoft Sentinel

Wymagania wstępne

Podstawowa wiedza na temat pojęć operacyjnych, takich jak monitorowanie, rejestrowanie i alerty

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).