Azure : KQL(Kusto Query Language)을 사용한 Sentinel 활용

 

1. 개념

• KQL : Sentinel에서 로그 데이터를 분석하는 데 사용하는 쿼리 언어

2. 실무 목적

• 특정 보안 이벤트를 신속히 분석하여 문제를 식별

3. 수행 방법

• Sentinel → "로그" 메뉴 열기
• KQL 쿼리 작성

SecurityEvent | where EventID == 4625 | summarize FailedLogins = count() by Account