Wprowadzenie
język zapytań Kusto (KQL) to język zapytań używany do przeprowadzania analizy danych w celu tworzenia analiz, skoroszytów i wyszukiwania zagrożeń w usłudze Microsoft Sentinel. Zrozumienie sposobu korelowania danych z różnych tabel za pomocą instrukcji KQL stanowi podstawę do tworzenia wykrywania w usłudze Microsoft Sentinel.
Jesteś analitykiem operacji zabezpieczeń pracującym w firmie, która implementuje usługę Microsoft Sentinel. Odpowiadasz za przeprowadzanie analizy danych dziennika w celu wyszukiwania złośliwych działań, wyświetlania wizualizacji i wyszukiwania zagrożeń.
Aby wykonywać zapytania dotyczące danych dziennika, należy użyć język zapytań Kusto (KQL). Często zestaw wyników z instrukcji KQL musi być połączony lub sprzężony z innym zestawem wyników. Możesz użyć operatora unii, aby połączyć dwa zestawy wyników. Operator sprzężenia łączy wiersze ze sobą na podstawie wartości klucza. Musisz zrozumieć, jak kolejność instrukcji KQL wpływa na oczekiwane wyniki.
Napiwek
Poniższe przykłady zapytań języka KQL można przetestować w witrynie demonstracyjnej la. Jeśli zostanie wyświetlony komunikat "Nie znaleziono wyników", spróbuj zmienić zakres czasu.