Introdução
A Linguagem de Consulta Kusto (KQL) é a linguagem de consulta usada para realizar análises em dados para a criação de Análises e Pastas de Trabalho e para executar Buscas no Microsoft Sentinel e no Microsoft Defender XDR. Entender como resumir e visualizar dados com uma instrução KQL fornece a base para criar detecções eficientes.
Você trabalha como analista de operações de segurança em uma empresa que está implementando o Microsoft Azure Sentinel. Você é responsável por executar a análise de dados de log para procurar atividades mal intencionadas, exibir visualizações e realizar a busca de ameaças. Para consultar os dados de log, você usa o KQL (Kusto Query Language). Você escreve instruções KQL que agregam e correlacionam dados que permitem a detecção de padrões. Uma dessas agregações pode ser o número de logons com falha. Essas informações, combinadas com um limite predeterminado, podem ser usadas para gerar um alerta para "Conta com mais de 10 logons com falha na última hora", por exemplo.
O operador summarize do KQL realiza os cálculos. Para conferir um padrão rapidamente, um analista pode visualizar os resultados em um gráfico. O operador render do KQL executa a visualização. A combinação dos operadores summarize e render fornece a base para visualizações avançadas, incluindo intervalo de tempo e divisão de tempo.
Dica
Você pode testar os exemplos de consulta KQL a seguir no Site de Demonstração de LA. Se você receber a mensagem "Nenhum resultado encontrado", tente alterar o intervalo de tempo.