Wprowadzenie
język zapytań Kusto (KQL) to język zapytań używany do przeprowadzania analizy danych w celu tworzenia analiz, skoroszytów i wyszukiwania zagrożeń w usługach Microsoft Sentinel i Microsoft Defender XDR. Zrozumienie sposobu podsumowywania i wizualizowania danych za pomocą instrukcji KQL stanowi podstawę do tworzenia wydajnych wykrywania zagrożeń.
Jesteś analitykiem operacji zabezpieczeń pracującym w firmie, która implementuje usługę Microsoft Sentinel. Odpowiadasz za przeprowadzanie analizy danych dziennika w celu wyszukiwania złośliwych działań, wyświetlania wizualizacji i wyszukiwania zagrożeń. Aby wykonywać zapytania dotyczące danych dziennika, należy użyć język zapytań Kusto (KQL). Piszesz instrukcje języka KQL, które agregują i korelują dane, które umożliwiają wykrywanie wzorców. Jedną z takich agregacji może być liczba nieudanych logów. Te informacje, w połączeniu z wstępnie określonym progiem, mogą służyć do generowania alertu dla "Konto z ponad 10 nieudanymi logowaniami w ciągu ostatniej godziny" jako przykład.
Operator podsumowania KQL wykonuje obliczenia. Aby szybko zobaczyć wzorzec, analityk może wizualizować wyniki na wykresie. Operator renderowania KQL wykonuje wizualizację. Połączenie operatorów podsumowania i renderowania stanowi podstawę zaawansowanych wizualizacji, w tym przedziałów czasu i fragmentowania czasu.
Napiwek
Poniższe przykłady zapytań języka KQL można przetestować w witrynie demonstracyjnej la. Jeśli zostanie wyświetlony komunikat "Nie znaleziono wyników", spróbuj zmienić zakres czasu.