Introdução

  • 3 minutos

O Microsoft Sentinel coleta dados de log armazenados em tabelas. A página Logs no Microsoft Sentinel fornece uma interface de usuário para criar e exibir resultados de consulta usando a KQL (Kusto Query Language). KQL é a linguagem de consulta usada para realizar análise de dados, criar análises, pastas de trabalho e realizar investigação com Microsoft Sentinel.

Você é um analista de operações de segurança que trabalha em uma empresa que está implementando o Microsoft Sentinel. Você deve explorar as tabelas disponíveis em seu espaço de trabalho. Use a página Logs no Microsoft Sentinel no portal do Azure, bem como as páginas Caça Avançada e Data Lake disponíveis no portal do Defender, para escrever instruções em KQL (Kusto Query Language) e visualizar dados armazenados nas tabelas. Quando você conecta dados de log ao espaço de trabalho do Microsoft Sentinel, os conectores gravam dados em tabelas específicas.

Você precisa ter uma compreensão básica das tabelas fornecidas e sua finalidade pretendida. Por exemplo, a tabela "SecurityEvents" foi projetada para dados de log de eventos de segurança do Windows. Com esse conhecimento, você pode consultar as tabelas necessárias para usar em sua pesquisa por atividades maliciosas.

Depois de concluir este módulo, você será capaz de:

  • Use a página Logs para exibir tabelas de dados com o Microsoft Sentinel
  • Consultar as tabelas mais usadas usando o Microsoft Sentinel

Pré-requisitos

Conhecimento básico de conceitos operacionais como monitoramento, registro e alerta

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.