Ambienti di query KQL

  • 6 minuti

Ora che si è a conoscenza di KQL, verranno esaminati i diversi ambienti di query in cui è possibile usare KQL nei prodotti Microsoft.

Gli ambienti descritti in questa unità sono Esplora dati di Azure, Intelligence in tempo reale in Microsoft Fabric, Monitoraggio di Azure, Microsoft Sentinel, Azure Resource Graph, Microsoft Defender XDR e Configuration Manager.

Esplora dati di Azure

Esplora dati di Azure è una piattaforma di analisi dei Big Data completamente gestita e ad alte prestazioni che semplifica l'analisi di volumi elevati di dati quasi in tempo reale. La casella degli strumenti di Esplora dati di Azure è una soluzione completa per l'inserimento, l'esecuzione di query, la visualizzazione e la gestione dei dati.

Esplora dati di Azure semplifica l'estrazione di informazioni dettagliate chiave, l'individuazione di modelli e tendenze e la creazione di modelli di previsione. Usa Machine Learning e analizza dati strutturati, semistrutturati e non strutturati in serie temporali. Esplora dati di Azure è scalabile, sicuro, affidabile e pronto per l'azienda ed è utile per l'analisi dei log, l'analisi delle serie temporali, IoT e l'analisi esplorativa per utilizzo generico.

Screenshot dell'ambiente di query in Esplora dati di Azure.

KQL è stato sviluppato per Esplora dati di Azure e può essere usato in vari ambienti, tra cui l'interfaccia utente Web, l'interfaccia della riga di comando Kustoe l'app desktop Kusto.Explorer. È possibile trovare la documentazione completa del linguaggio di query impostata in Panoramica di KQL.

Per altre informazioni sul prodotto, vedere Che cos'è Esplora dati di Azure?

Real-Time Intelligence in Microsoft Fabric

Microsoft Fabric è una soluzione di analisi all-in-one per le aziende che copre tutto, dallo spostamento dei dati all'analisi scientifica dei dati in tempo reale e all'intelligence aziendale. Offre una suite completa di servizi, tra cui un data lake, ingegneria dei dati e l'integrazione dei dati, tutto in un'unica posizione. Intelligence in tempo reale è una piattaforma di analisi dei Big Data completamente gestita ottimizzata per lo streaming e i dati delle serie temporali. Intelligence in tempo reale contiene ciò che è possibile considerare come la versione SaaS di Esplora dati di Azure. In particolare, è possibile usare KQL in set di query KQL per eseguire query, visualizzare e personalizzare i risultati delle query sui dati di un database KQL. È anche possibile salvare le query per usarle in un secondo momento o condividerle con altri utenti per collaborare all'esplorazione dei dati.

Screenshot della query in Intelligence in tempo reale.

Per altre informazioni, vedere Eseguire query sui dati in un set di query KQL.

Per altre informazioni sul prodotto, vedere Che cos'è Intelligence in tempo reale in Fabric?

Monitoraggio di Azure

Monitoraggio di Azure raccoglie, analizza e risponde ai dati di telemetria dagli ambienti Azure, multicloud e locali per ottimizzare la disponibilità e le prestazioni delle applicazioni e dei servizi. Monitoraggio di Azure mette in correlazione i dati da più origini, tra cui metriche, log, tracce e modifiche e fornisce un set di strumenti per l'analisi, la visualizzazione e la risposta ai dati. Questi strumenti includono informazioni dettagliate, avvisi, scalabilità automatica e funzionalità di intelligenza artificiale automatizzata per le operazioni IT (AIOps).

Log Analytics è uno strumento nel portale di Azure che serve per modificare ed eseguire query di log in base ai dati contenuti nell'archivio dei log di Monitoraggio di Azure.

Screenshot dell'interfaccia utente di Log Analytics di Monitoraggio di Azure per l'esecuzione di query.

Monitoraggio di Azure usa la stessa KQL di Esplora dati di Azure, con alcune piccole differenze. Per informazioni di riferimento, vedere Differenze di linguaggio.

Per altre informazioni sul prodotto, vedere Panoramica di Monitoraggio di Azure.

Microsoft Sentinel

Microsoft Sentinel è una soluzione scalabile e nativa del cloud che fornisce informazioni sulla sicurezza e gestione degli eventi (SIEM), nonché sull'orchestrazione della sicurezza, sull'automazione e risposta (SOAR). Molte funzionalità di Microsoft Sentinel usano KQL. La competenza con KQL è utile quando si usano gli strumenti di ricerca e query di Microsoft Sentinel per cercare in modo proattivo e reattivo minacce alla sicurezza nelle origini dati dell'organizzazione. Per altre informazioni, vedere Ricerca di minacce in Microsoft Sentinel.

Screenshot dell'ambiente di ricerca delle minacce di Microsoft Sentinel.

Ma questo è solo un inizio. Microsoft Sentinel usa KQL per avvisi, visualizzazioni di cartelle di lavoro, parser e trasformazione dei dati. Poiché Microsoft Sentinel si basa sul servizio Monitoraggio di Azure e usa le aree di lavoro Log Analytics di Monitoraggio di Azure per archiviare tutti i dati, Microsoft Sentinel offre anche una visualizzazione Log per le query di tabella dirette per trovare le connessioni nei dati.

Per altre informazioni sul prodotto, vedere Che cos'è Microsoft Sentinel?

Azure Resource Graph

Azure Resource Graph è un servizio di Azure progettato per estendere Azure Resource Management. Consente di gestire efficacemente l'ambiente offrendo un'esplorazione efficiente ed efficiente delle risorse con la possibilità di eseguire query su larga scala in un determinato set di sottoscrizioni. Con Azure Resource Graph, è possibile accedere a queste proprietà restituite dai provider di risorse senza la necessità di effettuare chiamate singole per ogni provider di risorse.

Screenshot dell'ambiente di query in Azure Resource Graph.

Resource Graph supporta tutti i tipi di dati, le funzioni scalari, gli operatori scalari e le funzioni di aggregazione di KQL. Resource Graph supporta operatori tabulari specifici, alcuni dei quali hanno comportamenti diversi. Questo comportamento viene riepilogato in Elementi del linguaggio KQL supportati.

Per altre informazioni sul prodotto, vedere Che cos'è Azure Resource Graph?

Microsoft Defender XDR

Microsoft Defender XDR è una suite di difesa aziendale unificata pre e post violazione che fornisce una protezione integrata contro gli attacchi più sofisticati. Coordina in modo nativo il rilevamento, la prevenzione, l'indagine e la risposta tra endpoint, identità, posta elettronica e applicazioni. Il team addetto alle operazioni di sicurezza riceve un avviso all'interno del portale di Microsoft Defender ogni volta che viene rilevata un'attività o un artefatto dannoso o sospetto. Tuttavia, non è sufficiente rispondere agli attacchi man mano che si verificano. Per attacchi estesi e in più fasi, ad esempio ransomware, è necessario cercare in modo proattivo l'evidenza di un attacco in corso e intervenire per arrestarlo prima del completamento.

Screenshot dell'ambiente di ricerca delle minacce di Microsoft Defender XDR.

La ricerca avanzata è uno strumento per la ricerca delle minacce basato su query che consente di esplorare fino a 30 giorni di dati non elaborati. È possibile controllare in modo proattivo eventi nella rete per localizzare indicatori ed entità di minaccia. L'accesso flessibile ai dati consente la ricerca senza vincoli di minacce sia note che potenziali. Per altre informazioni, vedere Ricerca proattiva delle minacce con la ricerca avanzata in Microsoft Defender XDR.

Per altre informazioni sul prodotto, vedere Che cos'è Microsoft Defender XDR?

Configuration Manager

Configuration Manager fa parte della famiglia di prodotti di Microsoft Intune, che fornisce un archivio centralizzato di grandi dimensioni dei dati dei dispositivi usati dai clienti per la creazione di report. CMPivot è una nuova utilità inclusa nella console che consente l'accesso allo stato in tempo reale dei dispositivi nell'ambiente in uso.

Screenshot dell'ambiente di query in CM Pivot in Configuration Manager.

CMPivot usa un subset di KQL per cercare termini, identificare le tendenze, analizzare i modelli e fornire molte altre informazioni dettagliate basate sui dati. Per altre informazioni, vedere Query CMPivot.

Per altre informazioni, vedere Che cos'è Configuration Manager?