KQL-queryomgevingen

  • 6 minuten

Nu u zich bewust bent van KQL, gaan we kijken naar de verschillende queryomgevingen waar u KQL kunt gebruiken in Microsoft-producten.

De omgevingen die in deze les worden beschreven, zijn Azure Data Explorer, Realtime Intelligence in Microsoft Fabric, Azure Monitor, Microsoft Sentinel, Azure Resource Graph, Microsoft Defender XDR en Configuration Manager.

Azure Data Explorer

Azure Data Explorer is een volledig beheerd, krachtige, big data-analyseplatform waarmee u eenvoudig grote hoeveelheden gegevens in bijna realtime kunt analyseren. De Azure Data Explorer-werkset biedt u een end-to-end oplossing voor gegevensopname, query, visualisatie en beheer.

Met Azure Data Explorer kunt u eenvoudig belangrijke inzichten extraheren, patronen en trends herkennen en prognosemodellen maken. Machine Learning wordt gebruikt en analyseert gestructureerde, semigestructureerde en ongestructureerde gegevens in tijdreeksen. Azure Data Explorer is schaalbaar, veilig, robuust en bedrijfsklaar en is handig voor log analytics, tijdreeksanalyse, IoT en verkennende analyses voor algemeen gebruik.

Schermopname van de queryomgeving in Azure Data Explorer.

KQL is ontwikkeld voor Azure Data Explorer en kan worden gebruikt in verschillende omgevingen, waaronder de webinterface, Kusto CLI en de Kusto.Explorer-bureaublad-app . U vindt de volledige documentatie voor querytaal in het KQL-overzicht.

Zie Wat is Azure Data Explorer?

Realtime intelligence in Microsoft Fabric

Microsoft Fabric is een alles-in-één analyseoplossing voor ondernemingen die alles omvat, van gegevensverplaatsing tot gegevenswetenschap, bijna realtime analyses en business intelligence. Het biedt een uitgebreide suite met services, waaronder een data lake, data engineering en gegevensintegratie, allemaal op één plek. Real-Time Intelligence is een volledig beheerd analyseplatform voor big data dat is geoptimaliseerd voor streaming- en tijdreeksgegevens. Realtime intelligence bevat wat we kunnen zien als de SaaS-versie van Azure Data Explorer. U kunt KQL in KQL Queryset gebruiken om query's uit te voeren, queryresultaten weer te geven en aan te passen op gegevens uit een KQL-database. U kunt ook query's opslaan voor later gebruik of met anderen delen om samen te werken aan gegevensverkenning.

Schermopname van query's in realtime intelligence.

Zie Querygegevens in een KQL-queryset voor meer informatie.

Zie Wat is Realtime Intelligence in Fabric voor meer productinformatie?

Azure Monitor

Azure Monitor verzamelt, analyseert en reageert op telemetrie van uw Azure-, multicloud- en on-premises omgevingen om de beschikbaarheid en prestaties van uw toepassingen en services te maximaliseren. Azure Monitor correleert gegevens uit meerdere bronnen, waaronder metrische gegevens, logboeken, traceringen en wijzigingen, en biedt een set hulpprogramma's voor het analyseren, visualiseren en reageren op de gegevens. Deze hulpprogramma's omvatten inzichten, waarschuwingen, automatisch schalen en geautomatiseerde kunstmatige intelligentie voor AIOps-mogelijkheden (IT-bewerkingen).

Met het hulpprogramma Log Analytics in Azure Portal kunt u logboekquery's bewerken en uitvoeren op gegevens in het logboekarchief van Azure Monitor.

Schermopname van de gebruikersinterface van Azure Monitor Log Analytics voor het uitvoeren van query's.

Azure Monitor maakt gebruik van dezelfde KQL als Azure Data Explorer, met enkele kleine verschillen. Zie Taalverschillen voor naslaginformatie.

Zie het overzicht van Azure Monitor voor meer productinformatie.

Microsoft Sentinel

Microsoft Sentinel is een schaalbare, cloudeigen oplossing die SECURITY Information and Event Management (SIEM) biedt, evenals security orchestration, automation and response (SOAR). Veel functies in Microsoft Sentinel gebruiken KQL. Vaardigheden met KQL zijn waardevol bij het gebruik van zoek- en queryhulpprogramma's van Microsoft Sentinel om proactief en reactief te zoeken naar beveiligingsrisico's in de gegevensbronnen van uw organisatie. Zie Opsporing van bedreigingen in Microsoft Sentinel voor meer informatie.

Schermopname van microsoft Sentinel-omgeving voor het opsporen van bedreigingen.

Maar dat is maar een begin. Microsoft Sentinel maakt gebruik van KQL voor waarschuwingen, werkmapvisualisaties, parsers en transformatie van gegevens. Omdat Microsoft Sentinel is gebouwd op de Azure Monitor-service en gebruikmaakt van De Log Analytics-werkruimten van Azure Monitor om alle gegevens op te slaan, biedt Microsoft Sentinel ook een logboekweergave voor directe tabelquery's om verbindingen in de gegevens te vinden.

Zie Wat is Microsoft Sentinel?

Azure Resource Graph

Azure Resource Graph is een Azure-service die is ontworpen om Azure Resource Management uit te breiden. Hiermee kunt u uw omgeving effectief beheren door een efficiënte en krachtige resourceverkenning te bieden met de mogelijkheid om query's op schaal uit te voeren voor een bepaalde set abonnementen. Met Azure Resource Graph hebt u toegang tot de eigenschappen die resourceproviders retourneren zonder dat u afzonderlijke aanroepen naar elke resourceprovider hoeft uit te voeren.

Schermopname van de queryomgeving in Azure Resource Graph.

Azure Resource Graph ondersteunt een subset van KQL-gegevenstypen, scalaire functies, scalaire operators en aggregatiefuncties. Resource Graph ondersteunt specifieke operators in tabelvorm, waarvan sommige verschillende gedragingen hebben. Dit gedrag wordt samengevat in ondersteunde KQL-taalelementen.

Zie Wat is Azure Resource Graph?

Microsoft Defender XDR

Microsoft Defender XDR is een geïntegreerde enterprise defense suite die geïntegreerde bescherming biedt tegen geavanceerde aanvallen. Het coördineert de detectie, preventie, onderzoek en reactie op eindpunten, identiteiten, e-mail en toepassingen. Uw beveiligingsteam ontvangt een waarschuwing in de Microsoft Defender-portal wanneer er een schadelijke of verdachte activiteit of artefact wordt gedetecteerd. Het is echter niet voldoende om te reageren op aanvallen wanneer ze optreden. Voor uitgebreide, multifase-aanvallen zoals ransomware, moet u proactief zoeken naar het bewijs van een aanval die wordt uitgevoerd en actie ondernemen om deze te stoppen voordat deze is voltooid.

Schermopname van microsoft Defender XDR-omgeving voor het opsporen van bedreigingen.

Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's waarmee u maximaal 30 dagen aan onbewerkte gegevens kunt verkennen. U kunt proactief gebeurtenissen in uw netwerk inspecteren om bedreigingsindicatoren en entiteiten te vinden. Dankzij de flexibele toegang tot gegevens kunt u niet-getrainde opsporing uitvoeren op zowel bekende als potentiële bedreigingen. Zie Proactief bedreigingen opsporen met geavanceerde opsporing in Microsoft Defender XDR voor meer informatie.

Zie Wat is Microsoft Defender XDR?

Configuration Manager

Configuration Manager maakt deel uit van de Microsoft Intune-productenfamilie, die een grote gecentraliseerde opslag van apparaatgegevens biedt die klanten gebruiken voor rapportagedoeleinden. CMPivot is een hulpprogramma in de console dat toegang biedt tot realtime status van apparaten in uw omgeving.

Schermopname van de queryomgeving in CM Pivot in Configuration Manager.

CMPivot maakt gebruik van een subset van de KQL om termen te zoeken, trends te identificeren, patronen te analyseren en vele andere gegevensgestuurde inzichten te bieden. Zie CMPivot-query's voor meer informatie.

Zie Wat is Configuration Manager voor meer productinformatie?