用于在 Microsoft Sentinel 中使用 Kusto 查询语言的有用资源

Microsoft Sentinel 使用 Azure Monitor 的 Log Analytics 环境和 Kusto 查询语言 (KQL) 来生成支持大部分 Sentinel 功能的查询，从分析规则到工作簿再到搜寻。 本文列出的资源有助于你熟练使用 Kusto 查询语言，其中提供了更多工具，有助于你以安全工程师身份或分析师身份使用 Microsoft Sentinel。

Microsoft 技术资源

Microsoft Sentinel 文档

• Microsoft Sentinel 中的 Kusto 查询语言

Azure Monitor 文档

• 教程：使用 Kusto 查询
• KQL 查询入门
• 查询最佳做法

参考指南

• KQL 快速参考指南
• SQL 到 Kusto 备份单
• Splunk 到 Kusto 查询语言映射

Microsoft Sentinel Learn 模块

• 用 Kusto 查询语言编写你的第一个查询
• 学习路径 SC-200：使用 Kusto 查询语言 (KQL) 为 Microsoft Sentinel 创建查询

其他资源

Microsoft TechCommunity 博客

• 高级 KQL 框架工作簿 - 助力精通 KQL（含网络研讨会）
• 使用 KQL 函数加速 Azure Sentinel 中的分析（高级）
• Ofer Shezaf 关于使用 KQL 运算符的关联规则的系列博客：
  • Azure Sentinel 关联规则：联接 KQL 运算符
  • 在 Azure Sentinel 中实现查找
  • Azure Sentinel 中的近似查找、部分查找和组合查找

训练和技能提升资源

• Rod Trent 的必学 KQL 系列
• Pluralsight 训练：从零学习 Kusto 查询语言
• Log Analytics 演示环境