Ambientes de consulta KQL

  • 6 minutos

Agora que você está ciente do KQL, vamos ver os diferentes ambientes de consulta em que você pode usar o KQL nos produtos da Microsoft.

Os ambientes que descrevemos nesta unidade são Azure Data Explorer, Inteligência em Tempo Real no Microsoft Fabric, Azure Monitor, Microsoft Sentinel, Azure Resource Graph, Microsoft Defender XDR e Configuration Manager.

Azure Data Explorer

O Azure Data Explorer é uma plataforma de análise de Big Data totalmente gerenciada e de alto desempenho que facilita a análise de grandes volumes de dados quase em tempo real. A caixa de ferramentas do Azure Data Explorer fornece uma solução de ponta a ponta para ingestão, consulta, visualização e gerenciamento de dados.

O Azure Data Explorer torna simples extrair insights importantes, detectar padrões e tendências e criar modelos de previsão. Ele usa Machine Learning e analisa dados estruturados, semiestruturados e não estruturados em séries temporais. O Azure Data Explorer é escalonável, seguro, robusto e pronto para empresas e é útil para análise de logs, análise de séries temporais, IoT e análise exploratória geral.

Captura de tela do ambiente da consulta no Azure Data Explorer.

O KQL foi desenvolvido para o Azure Data Explorer e pode ser usado em vários ambientes, incluindo a interface do usuário da web, CLI do Kusto e o aplicativo Kusto.Explorer para desktop. Você pode encontrar a documentação completa da linguagem de consulta definida em Visão geral do KQL.

Para obter mais informações, confira O que é o Azure Data Explorer?

Inteligência em Tempo Real no Microsoft Fabric

O Microsoft Fabric é uma solução de análise tudo em um para empresas que abrange tudo, desde movimentação de dados até ciência de dados, análise em quase tempo real e business intelligence. Ele oferece um conjunto abrangente de serviços, incluindo um data lake, engenharia de dados e integração de dados, tudo em um só lugar. A Inteligência em Tempo Real é uma plataforma de análise de Big Data totalmente gerenciada, otimizada para dados de streaming e séries temporais. A Inteligência em Tempo Real contém o que podemos considerar como a versão SaaS do Azure Data Explorer. Especificamente, você pode usar o KQL no KQL Queryset para executar consultas e exibir e personalizar os resultados da consulta em dados de um banco de dados KQL. Você também pode salvar consultas para uso posterior ou compartilhar com outras pessoas para colaborar na exploração de dados.

Captura de tela da consulta na Inteligência em Tempo Real.

Para obter mais informações, confira Consultar dados em um conjunto de consultas KQL.

Para mais informações sobre o produto, confira O que é a Inteligência em Tempo Real no Fabric?

Azure Monitor

O Azure Monitor coleta, analisa e responde à telemetria de seus ambientes locais, multinuvem e do Azure para ajudar a maximizar a disponibilidade e o desempenho de seus aplicativos e serviços. O Azure Monitor correlaciona dados de várias fontes, incluindo métricas, logs, rastreamentos e alterações, além de fornecer um conjunto de ferramentas para analisar, visualizar e responder aos dados. Essas ferramentas incluem insights, alertas, dimensionamento automático e inteligência artificial automatizada para recursos de operações de TI (AIOps).

O Log Analytics é uma ferramenta no portal do Azure para editar e executar consultas de log nos dados do repositório de Logs do Azure Monitor.

Captura de tela da interface do usuário de Análise de Log do Azure Monitor para execução de consultas.

Embora o Azure Monitor use o mesmo KQL que o Azure Data Explorer, com algumas pequenas diferenças. Para referência, consulte Diferenças de linguagem.

Para obter mais informações sobre o produto, confira Visão geral do Azure Monitor.

Microsoft Sentinel

O Microsoft Sentinel é uma solução escalonável e nativa de nuvem que fornece gerenciamento de eventos e informações de segurança (SIEM), bem como orquestração, automação e resposta de segurança (SOAR). Muitos recursos no Microsoft Sentinel usam KQL. A proficiência em KQL é valiosa ao usar as ferramentas de busca e consulta do Microsoft Sentinel para buscar ameaças à segurança de forma proativa e reativa nas fontes de dados da sua organização. Para obter mais informações, veja Caça a ameaças no Microsoft Sentinel.

Captura de tela do ambiente de busca de ameaças do Microsoft Sentinel.

Mas isso é só um começo. O Microsoft Sentinel usa KQL para alertas, visualizações de pasta de trabalho, analisadores e transformação de dados. Como o Microsoft Sentinel é criado sobre o serviço Azure Monitor e usa os Workspaces do Log Analytics do Azure Monitor para armazenar todos os seus dados, o Microsoft Sentinel também fornece uma exibição de Logs para consultas diretas de tabela para encontrar conexões nos dados.

Para obter mais informações sobre o produto, confira O que é o Microsoft Azure Sentinel?

Gráfico de Recursos do Azure

O Azure Resource Graph é um serviço do Azure projetado para estender o Azure Resource Management. Ele permite que você controle seu ambiente de forma eficaz, fornecendo exploração de recursos eficiente e performática com a capacidade de consultar em escala em um conjunto determinado de assinaturas. Com o Azure Resource Graph, você pode acessar as propriedades que os provedores de recursos retornam sem precisar fazer chamadas individuais para cada provedor de recursos.

Captura de tela do ambiente da consulta no Azure Resource Graph.

O Azure Resource Graph aceita todos os tipos de dados, funções escalares, operadores escalares e funções de agregação da linguagem KQL. O Resource Graph dá suporte a operadores tabulares específicos, alguns dos quais têm comportamentos diferentes. Resumimos esse comportamento em Elementos de linguagem KQL com suporte.

Para obter mais informações sobre o produto, confira O que é o Azure Resource Graph?

Microsoft Defender XDR

O Microsoft Defender XDR é um pacote de defesa empresarial unificado pré e pós-violação que fornece proteção integrada contra ataques sofisticados. Ele coordena nativamente detecção, prevenção, investigação e resposta entre pontos de extremidade, identidades, email e aplicativos. Sua equipe de operações de segurança recebe um alerta no portal do Microsoft Defender sempre que uma atividade ou artefato mal-intencionado ou suspeito é detectado. No entanto, não é suficiente responder aos ataques à medida que ocorrem. Para ataques estendidos e multifásicos, como ransomware, você deve procurar proativamente por evidências de um ataque em andamento e tomar medidas para pará-lo antes que seja concluído.

Captura de tela do ambiente de busca de ameaças do Microsoft Defender XDR.

A busca avançada é uma ferramenta de busca de ameaças baseada em consulta que permite que você explore até 30 dias de dados brutos. Você pode inspecionar eventos de forma proativa em sua rede para localizar indicadores de ameaça e entidades. O acesso flexível aos dados permite a busca irrestrita de ameaças conhecidas e potenciais. Para obter mais informações, confira Buscar proativamente ameaças com a busca avançada no Microsoft Defender XDR.

Para obter mais informações sobre o produto, confira O que é o Microsoft Defender XDR?

Configuration Manager

Configuration Manager faz parte da família Microsoft Intune de produtos, que fornece um grande repositório centralizado de dados de dispositivo que os clientes usam para fins de relatório. O CMPivot é um utilitário no console que fornece acesso ao estado dos dispositivos em tempo real em seu ambiente.

Captura de tela do ambiente da consulta no CM Pivot no Configuration Manager.

O CMPivot usa um subconjunto do KQL para pesquisar termos, identificar tendências, analisar padrões e fornecer muitos outros insights controlados por dados. Para obter mais informações, confira Consultas do CMPivot.

Para obter mais informações sobre o produto, confira O que é o Configuration Manager?