はじめに
Kusto クエリ言語 (KQL) は、データの分析を行って Analytics、Workbooks を作成し、Microsoft Sentinel でハンティングを実行するために使用されるクエリ言語です。 KQL のステートメントを使用し別のテーブルのデータを関連付ける方法を理解することは、Microsoft Sentinel で検出を構築する基礎となります。
あなたは、Microsoft Sentinel を実装しようとしている会社で働いているセキュリティ運用アナリストです。 悪意のあるアクティビティを検索し、視覚化を表示し、脅威ハンティングを実行するためにログ データ分析を行う責任があります。
ログ データのクエリを実行するには、Kusto クエリ言語 (KQL) を使用します。 KQL ステートメントの結果セットは、通常別の結果セットと結合する必要があります。 2 つの結果セットの結合には、union 演算子を使用します。 join 演算子では、キー値を使用して行を結合します。 KQL ステートメントの順序が、自分の期待の結果にどのように影響するかを理解する必要があります。
ヒント
LA Demo サイトで、次の KQL クエリの例をテストできます。 "結果が見つかりません" というメッセージが表示される場合は、時間の範囲を変更してみてください。