Introducción
El lenguaje de consulta Kusto (KQL) se utiliza para analizar datos con el fin de crear análisis y libros, y realizar búsquedas en Microsoft Sentinel. Saber cómo poner en correlación los datos de diferentes tablas con una instrucción KQL es la base para crear detecciones en Microsoft Sentinel.
Usted es un analista de operaciones de seguridad que trabaja en una empresa que va a implementar Microsoft Sentinel. Usted es responsable de analizar los datos de los registros para buscar actividad malintencionada, mostrar visualizaciones y buscar amenazas.
Para consultar los datos de los registros, utiliza el lenguaje de consulta Kusto (KQL). A menudo, es necesario combinar o unir un conjunto de resultados de una instrucción KQL con otro conjunto de resultados. Puede usar el operador union para combinar dos conjuntos de resultados. El operador join combina filas en función de un valor de clave. Debe saber cómo afecta el orden de una instrucción KQL a los resultados esperados.
Sugerencia
Puede probar los siguientes ejemplos de consultas KQL en el sitio de demostración de LA. Si recibe el mensaje "No se encontraron resultados", intente cambiar el intervalo de tiempo.