👀

Sentinel ウォッチリストを where の条件に使う

k.sato

2024/08/01に公開

はじめに

Sentinel のウォッチリストを where の条件に使いたいときのサンプルクエリです。

サンプル

複数の値を where ... in ... で使用する場合

// ウォッチリストの読み込み
let watchlist = _GetWatchlist('Administrators')
| project UserName = SearchKey;
// サインインログのクエリ
SigninLogs
| where UserPrincipalName in (watchlist)
| project TimeGenerated, UserPrincipalName, IPAddress

単一の値を where ... == ... で使用する場合

// ウォッチリストの読み込み
let watchlist = _GetWatchlist('Administrators')
| project UserName = SearchKey
| take 1;
// scalar に変換
let specificUser = toscalar(watchlist);
// サインインログのクエリ
SigninLogs
| where TimeGenerated > ago(90d)
| where UserPrincipalName == specificUser
| project TimeGenerated, UserPrincipalName, IPAddress

Microsoft (有志)Publication

Microsoft Azureをはじめとする最新技術情報をお届けします。 ※このPublicationは日本マイクロソフトまたは米Microsoft所属社員による個人の見解であり、所属する組織の公式見解ではありません。 ※Publicationに参加希望の社員は @07JP27までご連絡ください。

はじめに

サンプル

Discussion