Introdução
A KQL (Kusto Query Language) é a linguagem de consulta usada para realizar análises em dados para a criação de Análises e Pastas de Trabalho e para executar buscas no Microsoft Azure Sentinel. Entender como trabalhar com campos que contêm dados de cadeia de caracteres estruturados e não estruturados com uma instrução KQL fornece a base para a extração dos dados usados na criação de detecções no Microsoft Azure Sentinel.
Você trabalha como analista de operações de segurança em uma empresa que está implementando o Microsoft Azure Sentinel. Você é responsável por executar a análise de dados de log para procurar atividades mal intencionadas, exibir visualizações e realizar a busca de ameaças.
Para consultar os dados do log, você usa o KQL (Kusto Query Language). Geralmente, os campos de uma tabela armazenam dados de cadeia de caracteres estruturados e não estruturados. Escrevemos instruções KQL para extrair e manipular os dados armazenados nesses campos. Um cenário típico seria um par chave-valor armazenado em um campo e você precisar consultar o valor específico de uma chave.