Wprowadzenie
język zapytań Kusto (KQL) to język zapytań używany do przeprowadzania analizy danych w celu tworzenia analiz, skoroszytów i wyszukiwania zagrożeń w usłudze Microsoft Sentinel. Zrozumienie sposobu pracy z polami zawierającymi dane ciągów ustrukturyzowanych i nieustrukturyzowanych za pomocą instrukcji KQL stanowi podstawę do wyodrębniania danych używanych w wykrywaniu kompilacji w usłudze Microsoft Sentinel.
Jesteś analitykiem operacji zabezpieczeń pracującym w firmie, która implementuje usługę Microsoft Sentinel. Odpowiadasz za przeprowadzanie analizy danych dziennika w celu wyszukiwania złośliwych działań, wyświetlania wizualizacji i wyszukiwania zagrożeń.
Aby wykonywać zapytania dotyczące danych dziennika, należy użyć język zapytań Kusto (KQL). Często pola w magazynie tabel mają ustrukturyzowaną i nieustrukturyzowaną dane ciągu. Instrukcje KQL są zapisywane w celu wyodrębniania i manipulowania danymi przechowywanymi w tych polach. Typowy scenariusz to para klucz-wartość przechowywana w polu i należy wykonać zapytanie dotyczące określonej wartości klucza.