Úvod
dotazovací jazyk Kusto (KQL) je dotazovací jazyk používaný k provádění analýzy dat pro vytváření analýz, sešitů a proaktivního vyhledávání v Microsoft Sentinelu a XDR v programu Microsoft Defender. Vysvětlení, jak shrnout a vizualizovat data pomocí příkazu KQL, poskytuje základ pro vytváření efektivních detekcí hrozeb.
Pracujete ve společnosti, která implementuje Microsoft Sentinel, a pracujete jako analytik operací zabezpečení. Zodpovídáte za provádění analýzy dat protokolů za účelem vyhledávání škodlivých aktivit, zobrazování vizualizací a proaktivního vyhledávání hrozeb. K dotazování dat protokolu použijte dotazovací jazyk Kusto (KQL). Napíšete příkazy KQL, které agregují a korelují data, která umožňují detekci vzorů. Jednou z těchto agregací může být počet neúspěšných přihlášení. Tyto informace v kombinaci s předem stanovenou prahovou hodnotou je možné použít k vygenerování upozornění na "Účet s více než 10 neúspěšnými přihlášeními za poslední hodinu" jako příklad.
Operátor sumarizace KQL provádí výpočty. Pokud chcete rychle zobrazit vzor, může analytik vizualizovat výsledky v grafu. Operátor vykreslování KQL provede vizualizaci. Kombinace operátorů sumarizace a vykreslování poskytuje základ pro pokročilé vizualizace, včetně časových intervalů a řezů času.
Tip
Následující příklady dotazů KQL můžete otestovat na webu LA Demo. Pokud se zobrazí zpráva "Nenašly se žádné výsledky", zkuste změnit časový rozsah.