Введение
Язык запросов Kusto (KQL) — это язык запросов, используемый для анализа данных для создания Analytics, Workbooks и анализа угроз в Microsoft Sentinel. Понимание того, как свести и визуализировать данные с помощью оператора KQL, поможет создать основу для обнаружений в Microsoft Sentinel.
Вы — аналитик по информационной безопасности, работающий в компании, внедряющей Microsoft Sentinel. Вы несете ответственность за выполнение анализа данных журнала для поиска вредоносных действий, отображения визуализаций и обнаружения угроз.
Для запроса данных журнала используется язык запросов Kusto (KQL). Часто результирующий набор из инструкции ККЛ необходимо скомбинировать или объединить с другим результирующим набором. Для объединения двух результирующих наборов можно использовать оператор Union. Оператор Join объединяет строки вместе на основе значения ключа. Необходимо понимать, как порядок инструкции KQL влияет на ожидаемые результаты.
Совет
Ниже приведены примеры запросов KQL на демонстрационном сайте LA. Если вы получите сообщение "Нет найденных результатов", попробуйте изменить диапазон времени.