<strong>问题</strong> 我正在使用 ThreatConnect 将 TI 摄取到 Azure Sentinel，每次更新现有 IOC 时，它都会生

在编写日志分析规则时，它可以选择最长为 14 天的回溯时间段。但是，我正在编写与过去 30 天的历史数

我们启用了 Azure 安全中心连接器来接收警报，它显示连接器已启用。但是，数据类型 SecurityAlert (ASC) 显

有没有办法在没有workspace().table的情况下使用workspace() 我想返回所有内容并在我的 Kusto 查询中的其

<a href="https://github.com/javiersoriano/sentinel-all-in-one/blob/master/README.md" rel="nofollow noreferrer">https://github.com/javiers

我想了解我是否正在将日志从日志分析工作区发送到 azure 中的存储帐户，当使用存储连接器时，这些日

<a href="https://github.com/javiersoriano/sentinel-all-in-one#getting-started" rel="nofollow noreferrer">https://github.com/javiersoriano

在我的 Jupyter 笔记本中，我想对不同的 Sentinel 工作区运行相同的 KQL 查询，并将结果作为数据框进行比

我正在尝试将 Windows 虚拟机发送到 Azure 云中的多个工作区，因为要求是为所有日志收集创建一个中央工

我正在遍历 Log Analytics 工作区列表，以对它们运行查询，然后连接结果。 如果我因为任何原因收到

需要 KQL 查询来记录实体、哨兵 ID、创建日期 创建日期 哨兵ID 实体 最近更新时间 用户分配信息

我想创建一个 ARM 模板来部署以下内容： <ol> <li>资源组</li> <li>资源组中的 Log Analytics Workspace + 在其上

我已经彻底检查了这个问题的答案，但运气不佳。似乎无法从 OfficeActivity 架构中获取任何算法的文件哈

如何在 KQL 中操作字符串的输出？例如，我有一个查询来查找特定设备组的登录用户，这是我收到的输出

当管理员帐户（使用 where 语句找到）在 5 分钟内登录到多个工作站时，我需要提供一个结果列表，这将

最近我在 Microsoft 云应用程序安全 (MCAS) 门户 <code>Data exfiltration to an app that is not sanctioned</code> 上收到了

我还没有收到 Sentinel 中特定列的数据（我们称之为 A 列）。 我现在想创建一个分析规则，当我收