Introduzione
Kusto (KQL) è il linguaggio di query usato per eseguire analisi sui dati in modo da creare analisi e cartelle di lavoro e mettere in atto un processo di ricerca in Microsoft Sentinel e Microsoft Defender XDR. La comprensione della struttura di base delle istruzioni KQL pone le basi per la creazione di istruzioni più complesse.
L'utente agisce in qualità di Security Operations Analyst presso un'azienda che sta implementando Microsoft Sentinel. Ha il compito di eseguire l'analisi dei dati di log per cercare attività dannose, attivare visualizzazioni e mettere in atto un processo di ricerca delle minacce. Per eseguire query sui dati di log, si usa il linguaggio di query Kusto (KQL).
Per imparare a scrivere in KQL, si inizia con la struttura di base di un'istruzione KQL. Come nozioni fondamentali è necessario sapere in quale tabella eseguire la query, come applicare un filtro e come restituire colonne specifiche.