Introdução

  • 3 minutos

O Microsoft Sentinel coleta dados de log armazenados em tabelas. A página Logs no Microsoft Sentinel fornece uma interface do usuário para criar e exibir os resultados da consulta usando a KQL (Linguagem de Consulta Kusto). KQL é a linguagem de consulta usada para executar a análise de dados para criar análises, pastas de trabalho e executar a busca com o Microsoft Sentinel.

Você é um analista de operações de segurança que trabalha em uma empresa que está implementando o Microsoft Sentinel. Você deve explorar as tabelas disponíveis em seu workspace. Use a página Logs no Microsoft Sentinel no portal do Azure e a busca avançada de ameaças e as páginas do data lake disponíveis no portal do Defender para gravar instruções KQL (Linguagem de Consulta Kusto) a fim de exibir os dados armazenados nas tabelas. Quando você conecta dados de log ao workspace do Microsoft Sentinel, os conectores gravam dados em tabelas específicas.

Você precisa ter uma compreensão básica das tabelas fornecidas e da finalidade pretendida. Por exemplo, a tabela "SecurityEvents" foi projetada para dados de log de eventos de segurança do Windows. Com esse conhecimento, você pode consultar as tabelas necessárias a serem usadas em sua pesquisa por atividades mal-intencionadas.

Ao final deste módulo, você poderá:

  • Usar a página Logs para exibir tabelas de dados com o Microsoft Sentinel
  • Consultar as tabelas mais usadas com o Microsoft Azure Sentinel

Pré-requisitos

Conhecimento básico de conceitos operacionais, como monitoramento, registro em log e alertas

Importante

O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.