はじめに
Kusto クエリ言語 (KQL) は、データの分析を行って Analytics、Workbooks を作成し、Microsoft Sentinel でハンティングを実行するために使用されるクエリ言語です。 KQL ステートメントを使用して構造化および非構造化文字列データを含むフィールドを操作する方法を理解することは、Microsoft Sentinel での検出の構築に使用されるデータを抽出するための基礎となります。
あなたは、Microsoft Sentinel を実装しようとしている会社で働いているセキュリティ運用アナリストです。 悪意のあるアクティビティを検索し、視覚化を表示し、脅威ハンティングを実行するためにログ データ分析を行う責任があります。
ログ データのクエリを実行するには、Kusto クエリ言語 (KQL) を使用します。 テーブル内のフィールドには、多くの場合、構造化および非構造化文字列データが格納されます。 KQL ステートメントを記述して、これらのフィールドに格納されているデータを抽出および操作します。 一般的なシナリオはフィールドに格納されているキーと値のペアです。キーの特定の値に対してクエリを実行する必要があります。