Introduction
KQL est le langage de requête utilisé pour effectuer une analyse de données afin de créer des analyses, des classeurs et de mener la chasse (ou repérage) dans Microsoft Azure Sentinel. Une bonne compréhension de l’utilisation des champs contenant des données de chaîne structurées et non structurées avec une instruction KQL est essentielle pour extraire des données utilisées lors de la création de détections dans Microsoft Azure Sentinel.
Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise qui implémente Microsoft Sentinel. Vous êtes chargé d’effectuer une analyse des données de journal pour rechercher des activités malveillantes, afficher des visualisations et faire la chasse aux menaces.
Pour interroger les données du journal, vous utilisez le langage de requête Kusto (KQL). Souvent, les champs d’une table stockent des données de type chaîne structurées et non structurées. Vous écrivez des instructions KQL pour extraire et manipuler des données stockées dans ces champs. Un scénario type est une paire clé-valeur stockée dans un champ, et vous devez interroger la valeur spécifique d’une clé.