Introdução
Kusto Query Language (KQL) é a linguagem de consulta usada para executar análises de dados para criar Analytics, pastas de trabalho e executar caça no Microsoft Sentinel e Microsoft Defender XDR. Entender como resumir e visualizar dados com uma declaração KQL fornece a base para criar deteções de ameaças eficientes.
Você é um analista de operações de segurança que trabalha em uma empresa que está implementando o Microsoft Sentinel. Você é responsável por executar a análise de dados de log para pesquisar atividades maliciosas, exibir visualizações e executar a caça a ameaças. Para consultar dados de log, use a linguagem de consulta Kusto (KQL). Você escreve instruções KQL que agregam e correlacionam dados que permitem a deteção de padrões. Uma dessas agregações pode ser o número de logons com falha. Essas informações, combinadas com um limite predeterminado, podem ser usadas para gerar um alerta para "Conta com mais de 10 logons com falha na última hora" como exemplo.
O operador KQL summ executa os cálculos. Para ver rapidamente um padrão, um analista pode visualizar os resultados em um gráfico. O operador de renderização KQL executa a visualização. A combinação dos operadores de resumo e renderização fornece a base para visualizações avançadas, incluindo compartimento de tempo e fatiamento de tempo.
Gorjeta
Você pode testar os seguintes exemplos de consulta KQL no site LA Demo. Se receber a mensagem "Nenhum resultado encontrado", tente alterar o intervalo de tempo.