SC-200:将日志连接到 Microsoft Sentinel
在本地和在多个云中跨所有用户、设备、应用程序和基础结构将云规模数据连接到 Microsoft Sentinel。 此学习路径与考试 SC-200 保持一致:Microsoft 安全操作分析师。
先决条件
- 了解如何在 Microsoft Sentinel 中使用 KQL,就像可在学习路径 SC-200“使用 Kusto 查询语言 (KQL) 为 Azure Sentinel 创建查询”中学到的那样
- 了解 Microsoft Sentinel 环境配置,就像可在学习路径 SC-200“配置 Microsoft Sentinel 环境”中学到的那样
成就代码
是否希望请求成就代码?
本学习路径中的模块
连接日志数据的主要方法是使用 Microsoft Sentinel 提供的数据连接器。 本模块概述了可用的数据连接器。
了解如何将 Microsoft 365 和 Azure 服务日志连接到 Microsoft Sentinel。
了解用于 Microsoft Defender XDR 的 Microsoft Sentinel 连接器提供的配置选项和数据。
要收集的最常见日志之一是 Windows 安全事件。 了解 Microsoft Sentinel 如何借助安全事件连接器使此操作变得简单。
大多数供应商提供的连接器都使用 CEF 连接器。 了解通用事件格式 (CEF) 连接器的配置选项。
了解 Azure Monitor 代理 Linux Syslog 数据收集规则配置选项,这些选项可用于分析 Syslog 数据。
了解如何使用提供的数据连接器将威胁情报指标连接到 Microsoft Sentinel 工作区。