Environnements de requête KQL

Effectué

Maintenant que vous connaissez KQL, examinons les différents environnements de requête où vous pouvez utiliser KQL dans les produits Microsoft.

Les environnements que nous décrivons dans cette unité sont Azure Data Explorer, Real-Time Intelligence dans Microsoft Fabric,Azure Monitor, Microsoft Sentinel, Azure Resource Graph, Microsoft Defender XDR et Configuration Manager.

Explorateur de données Azure

Azure Data Explorer est une plateforme d’analytique Big Data très performante et complètement managée, qui facilite l’analyse de grands volumes de données quasiment en temps réel. La boîte à outils d’Azure Data Explorer vous offre une solution de bout en bout pour ingérer, interroger, visualiser et gérer les données.

Azure Data Explorer facilite l’extraction d’informations clés, de modèles et de tendances spot, et de créer des modèles de prévision. Il utilise le Machine Learning et analyse des données structurées, semi-structurées et non structurées dans des séries chronologiques. Azure Data Explorer est scalable, sécurisé, robuste et prêt pour l’entreprise. Il est utile pour l’analytique des journaux, l’analytique des séries chronologiques, l’IoT et l’analytique exploratoire à usage général.

Capture d’écran de l’environnement de requête dans Azure Data Explorer.

KQL a été développé pour Azure Data Explorer et peut être utilisé dans divers environnements, notamment l’interface utilisateur web, l’interface CLI Kusto et l’application de bureau Kusto.Explorer. La documentation complète du langage de requête se trouve dans la vue d’ensemble de KQL.

Pour plus d’informations sur le produit, consultez Qu’est-ce qu’Azure Data Explorer ?

Informations en temps réel dans Microsoft Fabric

Microsoft Fabric est une solution analytique tout-en-un pour les entreprises, qui couvre tout, depuis le déplacement des données jusqu’à la science des données, l’analytique en quasi-temps réel et le décisionnel. Il offre une suite complète de services, notamment un lac de données, l’engineering données et l’intégration des données, le tout au même endroit. Real-Time Intelligence est une plateforme analytique de Big Data complètement managée et optimisée pour les données de streaming et de série chronologique. Real-Time Intelligence contient ce que nous pouvons considérer comme la version SaaS d’Azure Data Explorer. Plus précisément, vous pouvez utiliser KQL dans l’ensemble de requêtes KQL pour exécuter des requêtes, afficher et personnaliser les résultats des requêtes sur des données à partir d’une base de données KQL. Vous pouvez également enregistrer des requêtes pour une utilisation ultérieure ou les partager avec d’autres personnes pour collaborer sur l’exploration des données.

Capture d’écran d’une requête dans Real-Time Intelligence.

Pour plus d’informations, consultez Interroger des données dans un ensemble de requêtes KQL.

Pour plus d’informations sur le produit, consultez Qu’est-ce que Real-Time Intelligence dans Fabric ?

Azure Monitor

Azure Monitor collecte, analyse les données de télémétrie et y répond à partir de vos environnements Azure, multiclouds et locaux pour optimiser la disponibilité et les performances de vos applications et services. Azure Monitor met en corrélation les données de plusieurs sources, notamment les métriques, les journaux, les traces et les modifications, et fournit un ensemble d’outils pour l’analyse, la visualisation et la réponse aux données. Ces outils incluent des aperçus, des alertes, une mise à l’échelle automatique et des fonctionnalités d’intelligence artificielle automatisée pour les opérations informatiques (AIOps).

L’outil Log Analytics dans le portail Azure permet de modifier et d’exécuter des requêtes de journal sur des données du magasin de journaux Azure Monitor.

Capture d’écran de l’interface utilisateur Azure Monitor Log Analytics pour l’exécution des requêtes.

Azure Monitor utilise le même langage KQL qu’Azure Data Explorer, avec des différences mineures. Pour plus d’informations, consultez Différences de langage.

Pour plus d’informations sur le produit, consultez Vue d’ensemble d’Azure Monitor.

Microsoft Sentinel

Microsoft Sentinel est une solution cloud native scalable qui fournit la gestion des événements et des informations de sécurité (SIEM) ainsi que l’orchestration, l’automatisation et la réponse en matière de sécurité (SOAR). De nombreuses fonctionnalités de Microsoft Sentinel utilisent KQL. La maîtrise de KQL est utile quand vous utilisez les outils de recherche et de requête de Microsoft Sentinel pour chasser de manière proactive et réactive les menaces de sécurité dans les sources de données de votre organisation. Pour plus d’informations, consultez Repérage de menaces dans Microsoft Sentinel.

Capture d’écran de l’environnement de chasse des menaces de Microsoft Sentinel.

Mais ce n’est qu’un début. Microsoft Sentinel utilise KQL pour les alertes, les visualisations de workbooks, les analyseurs et la transformation des données. Puisque Microsoft Sentinel s’appuie sur le service Azure Monitor et utilise les espaces de travail Log Analytics d’Azure Monitor pour stocker toutes ses données, Microsoft Sentinel fournit également une vue Journaux pour que les requêtes de table directes puissent rechercher des connexions dans les données.

Pour plus d’informations sur le produit, consultez Qu’est-ce que Microsoft Sentinel ?

Azure Resource Graph

Azure Resource Graph est un service Azure conçu pour étendre la gestion des ressources Azure. Elle vous permet de gouverner efficacement votre environnement, en fournissant une exploration efficace et performante des ressources avec la possibilité d’interroger à grande échelle sur un ensemble donné d’abonnements. Avec Azure Resource Graph, vous pouvez accéder aux propriétés retournées par les fournisseurs de ressources sans appeler chaque fournisseur.

Capture d’écran de l’environnement de requête dans Azure Resource Graph.

Azure Resource Graph prend en charge une partie des types de données, fonctions scalaires, opérateurs scalaires et fonctions d’agrégation du langage KQL. Resource Graph prend en charge des opérateurs tabulaires spécifiques, dont certains ont des comportements différents. Nous avons résumé ce comportement dans Éléments de langage KQL pris en charge.

Pour plus d’informations sur le produit, consultez Qu’est-ce qu’Azure Resource Graph ?

Microsoft Defender XDR

Microsoft Defender XDR est une suite unifiée de défense d’entreprise pré et post-violation qui offre une protection intégrée contre les attaques sophistiquées. Il coordonne de manière native la détection, la prévention, l’investigation et la réponse entre les points de terminaison, les identités, les e-mails et les applications. Votre équipe des opérations de sécurité reçoit une alerte dans le portail Microsoft Defender chaque fois qu’une activité ou un artefact malveillant ou suspect est détecté. Cependant, cela n’est pas suffisant pour répondre aux attaques lorsqu’elles se produisent. Pour les attaques multiphases étendues comme les rançongiciels, vous devez rechercher de manière proactive les preuves d’une attaque en cours et prendre des mesures pour l’arrêter avant qu’elle ne se termine.

Capture d’écran de l’environnement de chasse des menaces de Microsoft Defender XDR.

La chasse avancée est un outil de repérage de menaces basé sur des requêtes qui vous permet d’explorer jusqu’à 30 jours de données brutes. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et les entités de menace. L’accès flexible aux données permet un repérage sans contrainte des menaces connues et potentielles. Pour plus d’informations, consultez l’article Chasse proactive des menaces avec la chasse avancée dans Microsoft Defender XDR.

Pour plus d’informations sur le produit, consultez l’article Qu’est-ce que Microsoft Defender XDR ?

Gestionnaire de configuration

Le Gestionnaire de configuration fait partie de la famille de produits Microsoft Intune, qui fournit un grand magasin centralisé de données d’appareil que les clients utilisent pour la création de rapports. CMPivot est un utilitaire de console qui donne accès à l’état en temps réel des appareils de votre environnement.

Capture d’écran de l’environnement de requête dans CMPivot dans le Gestionnaire de configuration.

CMPivot utilise une partie du langage KQL pour rechercher des termes, identifier des tendances, analyser des modèles et fournir bien d’autres insights orientés données. Pour plus d’informations, consultez Requêtes CMPivot.

Pour plus d’informations sur le produit, consultez Qu’est-ce que le Gestionnaire de configuration ?