Запросы для таблицы AlertInfo

Для получения информации об использовании этих запросов в Azure Portal см. руководство по Log Analytics. Сведения о REST API см. в разделе "Запрос".

Оповещения по методу MITRE ATT&CK

Список оповещений методом MITRE ATT&CK в порядке убывания.

AlertInfo
| where isnotempty(AttackTechniques)
| mvexpand todynamic(AttackTechniques) to typeof(string)
| summarize AlertCount = dcount(AlertId) by AttackTechniques
| sort by AlertCount desc