Présentation

Effectué

KQL est le langage de requête utilisé pour effectuer une analyse de données afin de créer des analyses, des classeurs et de mener la chasse (ou repérage) dans Microsoft Azure Sentinel. Une bonne compréhension de la manière de corréler des données de différentes tables avec une instruction KQL est indispensable pour créer des détections dans Microsoft Azure Sentinel.

Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise qui implémente Microsoft Sentinel. Vous êtes chargé d’effectuer une analyse des données de journal pour rechercher des activités malveillantes, afficher des visualisations et faire la chasse aux menaces.

Pour interroger les données du journal, vous utilisez le langage de requête Kusto (KQL). Souvent, un jeu de résultats d’une instruction KQL doit être combiné ou joint à un autre jeu de résultats. Vous pouvez utiliser l’opérateur d’union pour combiner deux jeux de résultats. L’opérateur de jointure joint les lignes en fonction d’une valeur de clé. Vous devez comprendre comment l’ordre d’une instruction KQL a un impact sur les résultats attendus.

Conseil

Vous pouvez tester les exemples de requêtes KQL suivants sur le site LA Demo. Si vous recevez le message « Aucun résultat trouvé », essayez de modifier l’intervalle de temps.