Introduzione
Kusto (KQL) è il linguaggio di query usato per eseguire analisi sui dati in modo da creare analisi e cartelle di lavoro e mettere in atto un processo di ricerca in Microsoft Sentinel. Comprendere come usare i campi contenenti dati stringa strutturati e non strutturati con un'istruzione KQL è essenziale per l'estrazione dei dati usati per compilare i rilevamenti in Microsoft Sentinel.
L'utente agisce in qualità di Security Operations Analyst presso un'azienda che sta implementando Microsoft Sentinel. Ha il compito di eseguire l'analisi dei dati di log per cercare attività dannose, attivare visualizzazioni e mettere in atto un processo di ricerca delle minacce.
Per eseguire query sui dati di log, si usa il linguaggio di query Kusto (KQL). Spesso nei campi di una tabella sono archiviati dati stringa strutturati e non strutturati. È possibile scrivere istruzioni KQL per estrarre e modificare i dati archiviati in questi campi. In uno scenario tipico si ha una coppia chiave-valore archiviata in un campo e la necessità di eseguire una query sul valore specifico di una chiave.