Introduzione
Kusto (KQL) è il linguaggio di query usato per eseguire analisi sui dati in modo da creare analisi e cartelle di lavoro e mettere in atto un processo di ricerca in Microsoft Sentinel. La comprensione di come correlare i dati di tabelle diverse con un'istruzione KQL consente di porre le basi per i rilevamenti in Microsoft Sentinel.
L'utente agisce in qualità di Security Operations Analyst presso un'azienda che sta implementando Microsoft Sentinel. Ha il compito di eseguire l'analisi dei dati di log per cercare attività dannose, attivare visualizzazioni e mettere in atto un processo di ricerca delle minacce.
Per eseguire query sui dati di log, si usa il linguaggio di query Kusto (KQL). Spesso è necessario combinare o creare un join di un set di risultati di un'istruzione KQL con un altro set di risultati. È possibile usare l'operatore union per combinare due set di risultati. L'operatore di join crea un join delle righe in base a un valore chiave. È necessario comprendere in che modo l'ordine di un'istruzione KQL influisce sui risultati previsti.
Suggerimento
È possibile testare gli esempi di query KQL seguenti nel sito demo LA. Se viene visualizzato il messaggio "Nessun risultato trovato", provare a modificare l'intervallo di tempo.