Introdução
Kusto Query Language (KQL) é a linguagem de consulta usada para executar análises de dados para criar Analytics, Pastas de trabalho e executar Hunting no Microsoft Sentinel. Compreender como correlacionar dados de tabelas diferentes com uma instrução KQL fornece a base para criar deteções no Microsoft Sentinel.
Você é um analista de operações de segurança que trabalha em uma empresa que está implementando o Microsoft Sentinel. Você é responsável por executar a análise de dados de log para pesquisar atividades maliciosas, exibir visualizações e executar a caça a ameaças.
Para consultar dados de log, use a linguagem de consulta Kusto (KQL). Muitas vezes, um conjunto de resultados de uma instrução KQL precisa ser combinado ou unido a outro conjunto de resultados. Você pode usar o operador do sindicato para combinar dois conjuntos de resultados. O operador de junção une linhas com base em um valor de chave. Você precisa entender como a ordem de uma declaração KQL afeta seus resultados esperados.
Gorjeta
Você pode testar os seguintes exemplos de consulta KQL no site LA Demo. Se receber a mensagem "Nenhum resultado encontrado", tente alterar o intervalo de tempo.