我们如何从日志中获取哨兵实体我们对实体的 KQL 查询是什么,哨兵 ID 信息
How can we get sentinel entities from logs what is the KQL Query we to for Entities , Sentinel ID information
需要 KQL 查询来记录实体、Sentinel ID、创建日期
创建日期
哨兵 ID
实体
最近更新时间
用户分配信息
您可以参考包含 SecurityEvent Table 的列列表的 SecurityEvent,从那里您可以 select 查询中 table 的列。
使用项目命令
KQL:
SecurityEvent
| project TimeGenerated, CreatedDate, ResourceID
需要 KQL 查询来记录实体、Sentinel ID、创建日期
创建日期 哨兵 ID 实体 最近更新时间 用户分配信息
您可以参考包含 SecurityEvent Table 的列列表的 SecurityEvent,从那里您可以 select 查询中 table 的列。
使用项目命令 KQL:
SecurityEvent
| project TimeGenerated, CreatedDate, ResourceID