Introducción
El lenguaje de consulta Kusto (KQL) es el lenguaje de consulta que se usa para realizar análisis sobre los datos para crear análisis, libros y realizar la búsqueda en Microsoft Sentinel y Microsoft Defender XDR. Comprender cómo resumir y visualizar datos con una instrucción KQL proporciona la base para crear detecciones de amenazas eficaces.
Usted es un analista de operaciones de seguridad que trabaja en una empresa que va a implementar Microsoft Sentinel. Usted es responsable de analizar los datos de los registros para buscar actividad malintencionada, mostrar visualizaciones y buscar amenazas. Para consultar los datos de los registros, utiliza el lenguaje de consulta Kusto (KQL). Escribe instrucciones KQL que agregan y correlacionan datos que permiten la detección de patrones. Una de estas agregaciones podría ser el número de inicios de sesión que han dado error. Esta información, combinada con un umbral predeterminado, se puede utilizar para generar, por ejemplo, la alerta "Cuenta con más de 10 inicios de sesión con errores en la última hora".
El operador summarize de KQL realiza los cálculos. Para ver rápidamente un patrón, un analista puede visualizar los resultados en un grafo. El operador render de KQL realiza la visualización. La combinación de los operadores summarize y render proporciona la base para visualizaciones avanzadas, incluida la definición de ciclos y porciones de tiempo.
Sugerencia
Puede probar los siguientes ejemplos de consultas KQL en el sitio de demostración de LA. Si recibe el mensaje "No se encontraron resultados", intente cambiar el intervalo de tiempo.