Introducción
El lenguaje de consulta Kusto (KQL) se utiliza para analizar datos con el fin de crear análisis y libros, y realizar búsquedas en Microsoft Sentinel. Saber cómo trabajar con campos que contienen datos de cadena estructurados y no estructurados con una instrucción de KQL es la base para extraer los datos que se usan en la creación de detecciones en Microsoft Sentinel.
Usted es un analista de operaciones de seguridad que trabaja en una empresa que va a implementar Microsoft Sentinel. Usted es responsable de analizar los datos de los registros para buscar actividad malintencionada, mostrar visualizaciones y buscar amenazas.
Para consultar los datos de los registros, utiliza el lenguaje de consulta Kusto (KQL). A menudo, los campos de una tabla almacenan datos de cadena estructurados y no estructurados. Escribe instrucciones de KQL para extraer y manipular los datos almacenados en estos campos. Un escenario típico es un par clave-valor almacenado en un campo y debe consultar el valor específico de una clave.