Introduzione
Kusto (KQL) è il linguaggio di query usato per eseguire analisi sui dati in modo da creare analisi e cartelle di lavoro e mettere in atto un processo di ricerca in Microsoft Sentinel e Microsoft Defender XDR. Comprendere come riepilogare e visualizzare i dati con un'istruzione KQL consente di porre le basi per definire rilevamenti efficienti delle minacce.
L'utente agisce in qualità di Security Operations Analyst presso un'azienda che sta implementando Microsoft Sentinel. Ha il compito di eseguire l'analisi dei dati di log per cercare attività dannose, attivare visualizzazioni e mettere in atto un processo di ricerca delle minacce. Per eseguire query sui dati di log, si usa il linguaggio di query Kusto (KQL). Si scriveranno istruzioni KQL che aggregano e mettono in correlazione i dati per il rilevamento dei modelli. Una di queste aggregazioni potrebbe essere il numero di accessi non riusciti. Queste informazioni, in associazione a una soglia predeterminata, possono essere usate ad esempio per generare un avviso per "account con oltre 10 accessi non riusciti nell'ultima ora".
L'operatore KQL summarize esegue i calcoli. Per visualizzare rapidamente un modello, un analista può visualizzare i risultati sotto forma di grafico. L'operatore KQL render esegue la visualizzazione. La combinazione degli operatori summarize e render fornisce le basi per visualizzazioni avanzate, tra cui bucket e sezionamento delle ore.
Suggerimento
È possibile testare gli esempi di query KQL seguenti nel sito demo LA. Se viene visualizzato il messaggio "Nessun risultato trovato", provare a modificare l'intervallo di tempo.