=~ valeur approx (ne tient pas compte des minuscules/majuscules)
SecurityEvent_CL
| where TimeGenerated > ago(7d) and EventID_s == 4688
| summarize count() by Computer
Compter le nombre d’occurence des différents champs
SecurityEvent_CL
| where TimeGenerated > ago(7d) and EventID_s == 4624
| summarize cnt=count() by AccountType_s, Computer
Compte le nombre d’IP dissociées trouvées (exemple IPAddress : 5)
SigninLogs_CL
| where TimeGenerated > ago(30d)
| summarize dcount(IPAddress)
Compte le nombre d’entrées pour chaque IP trouvées (exemple 192.168 : 8, 192.149 : 5)
SigninLogs_CL
| where TimeGenerated > ago(30d)
//| summarize dcount(IPAddress)
| summarize cnt=count() by IPAddress
Faire summarize en premier est + rapide
Faire une liste de toutes les valeurs dans un groupe :(ici tous les comptes pour chaque ordinateur)
SecurityEvent_CL
| where TimeGenerated > ago(7d)
| where EventID_s == 4624
| summarize make_list(Account_s) by Computer
make_set au lieu de make_list permet d’avoir les valeurs uniques
On peut ajouter des rendues avec :
| render barchart
ou
| render timechart
J’ai arrêté à Task 6: Build multi-table statements in KQL, à voir si intéressant après