Introdução
Kusto Query Language (KQL) é a linguagem de consulta usada para executar análises de dados para criar Analytics, Pastas de trabalho e executar Hunting no Microsoft Sentinel. Compreender como trabalhar com campos que contêm dados de cadeia de caracteres estruturados e não estruturados com uma instrução KQL fornece a base para extrair dados usados na criação de deteções no Microsoft Sentinel.
Você é um analista de operações de segurança que trabalha em uma empresa que está implementando o Microsoft Sentinel. Você é responsável por executar a análise de dados de log para pesquisar atividades maliciosas, exibir visualizações e executar a caça a ameaças.
Para consultar dados de log, use a linguagem de consulta Kusto (KQL). Muitas vezes, os campos em uma tabela armazenam dados de cadeia de caracteres estruturados e não estruturados. Você escreve instruções KQL para extrair e manipular dados armazenados nesses campos. Um cenário típico é um par chave-valor armazenado em um campo e você precisa consultar o valor específico de uma chave.