Visão Geral

O curso KQL para Cyber Security capacita profissionais de segurança da informação, SOC, Threat Hunting e Incident Response a utilizar o Kusto Query Language (KQL) para análise avançada de eventos, investigação de incidentes, detecção de ameaças e desenvolvimento de consultas em plataformas Microsoft Security, incluindo Microsoft Defender XDR e Microsoft Sentinel.

Durante o treinamento, os participantes aprenderão desde os fundamentos da linguagem até técnicas avançadas de correlação de eventos, análise temporal, criação de dashboards e desenvolvimento de consultas voltadas para cenários reais de operações de segurança (SOC).

Objetivo

Após realizar este curso KQL para Cyber Security, você será capaz de:

• Compreender a sintaxe e estrutura do Kusto Query Language (KQL)
• Construir consultas para análise de eventos de segurança
• Aplicar filtros e operadores avançados
• Realizar parsing de logs e extração de informações
• Utilizar expressões regulares (Regex) para tratamento de dados
• Executar correlações entre múltiplas fontes de eventos
• Trabalhar com séries temporais para análise comportamental
• Desenvolver consultas para Threat Hunting
• Criar consultas para Microsoft Defender XDR
• Desenvolver consultas para Microsoft Sentinel
• Construir dashboards operacionais para SOC
• Aplicar KQL em cenários reais de investigação e resposta a incidentes

Publico Alvo

• Analistas SOC
• Threat Hunters
• Analistas de Segurança da Informação
• Analistas de Cyber Security
• Especialistas em Resposta a Incidentes
• Administradores Microsoft Sentinel
• Administradores Microsoft Defender XDR
• Security Engineers
• Detection Engineers
• Equipes Blue Team

Pre-Requisitos

• Conhecimentos básicos de Segurança da Informação
• Conceitos de logs e monitoramento
• Familiaridade com Microsoft Sentinel ou Defender XDR
• Conhecimentos básicos de redes TCP/IP
• Experiência com análise de eventos de segurança será um diferencial

Materiais

Conteúdo Programatico

Module 1: Introduction to Kusto Query Language

1. KQL Overview
2. Query Structure and Syntax
3. Tables and Data Sources
4. Query Execution Flow
5. Common Security Data Types
6. KQL Best Practices

Module 2: KQL Operators Fundamentals

1. Search Operator
2. Project Operator
3. Extend Operator
4. Distinct Operator
5. Sort and Order Operations
6. Take and Limit Operations

Module 3: Filtering and Data Selection

1. Where Operator
2. Conditional Filters
3. Dynamic Filtering
4. Multi-Condition Queries
5. Security Event Filtering
6. Performance Optimization

Module 4: Parsing and Data Extraction

1. Parse Operator
2. Parse-Where Operator
3. Extract Function
4. JSON Parsing
5. XML Parsing
6. Structured and Unstructured Data Processing

Module 5: Regular Expressions (Regex)

1. Regex Fundamentals
2. Pattern Matching
3. Data Extraction Techniques
4. IOC Identification
5. Log Analysis with Regex
6. Security Investigation Scenarios

Module 6: Aggregations and Summarization

1. Summarize Operator
2. Count Operations
3. Statistical Functions
4. Grouping Techniques
5. Trend Analysis
6. Security Metrics Generation

Module 7: Joins and Data Correlation

1. Join Fundamentals
2. Inner Join
3. Left Outer Join
4. Full Outer Join
5. Anti Join
6. Multi-Source Correlation

Module 8: Time Series Analysis

1. Time-Based Queries
2. Time Windows
3. Bin Function
4. Trend Analysis
5. Behavioral Analytics
6. Anomaly Detection Concepts

Module 9: Advanced Hunting Queries

1. Hunting Methodologies
2. IOC-Based Hunting
3. Behavioral Hunting
4. Threat Correlation
5. Lateral Movement Detection
6. Persistence Detection

Module 10: KQL for Microsoft Defender XDR

1. Defender Advanced Hunting Tables
2. DeviceEvents Analysis
3. DeviceNetworkEvents Investigation
4. EmailEvents Analysis
5. Identity Events Investigation
6. Threat Detection Queries

Module 11: KQL for Microsoft Sentinel

1. Sentinel Data Model
2. Log Analytics Queries
3. Analytics Rules Development
4. Threat Hunting Queries
5. Watchlists Integration
6. Investigation Scenarios

Module 12: Dashboards and Operational Reporting

1. Workbook Fundamentals
2. Security Dashboards
3. KPI Development
4. Executive Reporting
5. SOC Operational Metrics
6. Visualization Best Practices

Module 13: Real-World SOC Scenarios

1. Ransomware Detection
2. Credential Theft Investigation
3. Brute Force Attack Analysis
4. Insider Threat Investigation
5. Privilege Escalation Detection
6. Advanced Persistent Threat (APT) Analysis

Laboratórios Práticos

1. Construção das primeiras consultas KQL
2. Filtragem e análise de eventos de segurança
3. Extração de informações utilizando Parsing
4. Utilização de Regex para identificação de indicadores de comprometimento
5. Criação de consultas estatísticas e analíticas
6. Correlação de eventos utilizando Joins
7. Análise temporal e identificação de anomalias
8. Desenvolvimento de consultas de Threat Hunting
9. Investigação de eventos no Microsoft Defender XDR
10. Desenvolvimento de consultas para Microsoft Sentinel
11. Construção de dashboards operacionais
12. Análise de incidentes reais utilizando KQL
13. Investigação completa de um ataque cibernético
14. Desenvolvimento de consultas personalizadas para SOC