Úvod
dotazovací jazyk Kusto (KQL) je dotazovací jazyk používaný k provádění analýzy dat za účelem vytváření analýz, sešitů a proaktivního vyhledávání v Microsoft Sentinelu. Vysvětlení korelace dat z různých tabulek pomocí příkazu KQL poskytuje základ pro sestavování detekcí v Microsoft Sentinelu.
Pracujete ve společnosti, která implementuje Microsoft Sentinel, a pracujete jako analytik operací zabezpečení. Zodpovídáte za provádění analýzy dat protokolů za účelem vyhledávání škodlivých aktivit, zobrazování vizualizací a proaktivního vyhledávání hrozeb.
K dotazování dat protokolu použijte dotazovací jazyk Kusto (KQL). Často je potřeba sadu výsledků z příkazu KQL zkombinovat nebo spojit s jinou sadou výsledků. Pomocí sjednocovacího operátoru můžete zkombinovat dvě sady výsledků. Operátor spojení spojí řádky na základě hodnoty klíče. Potřebujete pochopit, jak pořadí příkazu KQL ovlivňuje očekávané výsledky.
Tip
Následující příklady dotazů KQL můžete otestovat na webu LA Demo. Pokud se zobrazí zpráva "Nenašly se žádné výsledky", zkuste změnit časový rozsah.