Úvod
dotazovací jazyk Kusto (KQL) je dotazovací jazyk používaný k provádění analýzy dat za účelem vytváření analýz, sešitů a proaktivního vyhledávání v Microsoft Sentinelu. Pochopení toho, jak pracovat s poli obsahujícími strukturovaná a nestrukturovaná řetězcová data pomocí příkazu KQL, poskytuje základ pro extrakci dat používaných při zjišťování budov v Microsoft Sentinelu.
Pracujete ve společnosti, která implementuje Microsoft Sentinel, a pracujete jako analytik operací zabezpečení. Zodpovídáte za provádění analýzy dat protokolů za účelem vyhledávání škodlivých aktivit, zobrazování vizualizací a proaktivního vyhledávání hrozeb.
K dotazování dat protokolu použijte dotazovací jazyk Kusto (KQL). Pole v tabulce často ukládají strukturovaná a nestrukturovaná řetězcová data. Napíšete příkazy KQL pro extrakci a manipulaci s daty uloženými v těchto polích. Typickým scénářem je pár klíč-hodnota uložený v poli a potřebujete zadat dotaz na konkrétní hodnotu klíče.