はじめに
Kusto クエリ言語 (KQL) は、データの分析を行って Analytics、Workbooks を作成し、Microsoft Sentinel と Microsoft Defender XDR でハンティングを実行するために使用されるクエリ言語です。 KQL ステートメントを使用してデータを集計して視覚化する方法を理解することは、脅威の検出を効率的に構築するための基礎となります。
あなたは、Microsoft Sentinel を実装しようとしている会社で働いているセキュリティ運用アナリストです。 悪意のあるアクティビティを検索し、視覚化を表示し、脅威ハンティングを実行するためにログ データ分析を行う責任があります。 ログ データのクエリを実行するには、Kusto クエリ言語 (KQL) を使用します。 パターン検出を可能にするデータを集計して関連付ける KQL ステートメントを記述します。 このような集計の 1 つとして、失敗したログオンの回数が考えられます。 この情報を事前に定義されたしきい値と組み合わせて使用すると、たとえば "過去 1 時間のログオンの失敗が 10 回を超えるアカウント" のアラートを生成できます。
KQL の summarize 演算子で計算を行います。 パターンをすばやく確認するために、アナリストは結果をグラフで視覚化できます。 KQL の render 演算子では視覚化を行います。 summarize および render 演算子を組み合わせて使用することは、時間バケットやタイム スライスなどの高度な視覚化の基礎となります。
ヒント
LA Demo サイトで、次の KQL クエリの例をテストできます。 "結果が見つかりません" というメッセージが表示される場合は、時間の範囲を変更してみてください。