Среды запросов KQL

  • 6 мин

Теперь, когда вы знаете KQL, давайте рассмотрим различные среды запросов, где можно использовать KQL в продуктах Майкрософт.

Среды, описываемые в этом уроке, — Azure Data Explorer, Аналитика в режиме реального времени в Microsoft Fabric, Azure Monitor, Microsoft Sentinel, Azure Resource Graph, Microsoft Defender XDR и Configuration Manager.

Azure Data Explorer

Azure Data Explorer — это полностью управляемая, высокопроизводительная платформа аналитики больших данных, которая упрощает анализ больших объемов данных практически в реальном времени. Набор средств Azure Data Explorer предоставляет собой комплексное решение для приема данных, отправки запросов, визуализации и управления.

Azure Data Explorer упрощает извлечение ключевых аналитических сведений, точечных шаблонов и тенденций и создания моделей прогнозирования. Он использует Машинное обучение и анализирует структурированные, полуструктурированные и неструктурированные данные в временных рядах. Azure Data Explorer — это масштабируемая, безопасная, надежная и корпоративная, а также полезная для аналитики журналов, аналитики временных рядов, Интернета вещей и анализа общего назначения.

Снимок экрана: среда запроса в Azure Data Explorer.

KQL разработан для Azure Data Explorer и может использоваться в различных средах, включая веб-интерфейс, CLI Kusto и классическое приложение Kusto.Explorer. Полный набор документации по языку запросов можно найти в обзоре KQL.

Дополнительные сведения о продукте см. в статье "Что такое Azure Data Explorer?

Аналитика в режиме реального времени в Microsoft Fabric

Microsoft Fabric — это решение для аналитики в одном режиме для предприятий, охватывающих все, от перемещения данных до обработки и анализа данных, аналитики практически в режиме реального времени и бизнес-аналитики. Он предлагает полный набор служб, включая озеро данных, проектирование данных и интеграцию данных, все в одном месте. Аналитика в реальном времени — это полностью управляемая платформа аналитики больших данных, оптимизированная для потоковой передачи и данных временных рядов. Аналитика в режиме реального времени содержит то, что мы можем рассматривать как версию SaaS Azure Data Explorer. В частности, можно использовать KQL в наборе запросов KQL для выполнения запросов, просмотра и настройки результатов запросов на данные из базы данных KQL. Вы также можете сохранять запросы для последующего использования или предоставлять другим пользователям общий доступ для совместной работы с исследованием данных.

Снимок экрана: запрос в аналитике в режиме реального времени.

Дополнительные сведения см. в разделе "Запрос данных" в наборе запросов KQL.

Дополнительные сведения о продукте см. в статье "Что такое аналитика в режиме реального времени" в Fabric?

Azure Monitor

Azure Monitor собирает, анализирует и реагирует на данные телеметрии из Azure, multicloud и локальных сред, чтобы повысить доступность и производительность приложений и служб. Azure Monitor сопоставляет данные из нескольких источников, включая метрики, журналы, трассировки и изменения, а также предоставляет набор средств для анализа, визуализации и реагирования на данные. К этим средствам относятся аналитические сведения, оповещения, автомасштабирование и автоматизированный искусственный интеллект для ИТ-операций (AIOps).

Средство Log Analytics в портал Azure позволяет изменять и запускать запросы журналов к данным в хранилище журналов Azure Monitor.

Снимок экрана: пользовательский интерфейс Azure Monitor Log Analytics для выполнения запросов.

Azure Monitor использует тот же KQL, что и Azure Data Explorer, с некоторыми незначительными различиями. Дополнительные сведения см. в разделе "Различия в языке".

Дополнительные сведения о продукте см. в обзоре Azure Monitor.

Microsoft Sentinel

Microsoft Sentinel — это масштабируемое облачное решение, которое предоставляет сведения о безопасности и управление событиями (SIEM), а также оркестрацию безопасности, автоматизацию и ответ (SOAR). Многие функции в Microsoft Sentinel используют KQL. Опыт работы с KQL ценен при использовании средств поиска и запросов Microsoft Sentinel для упреждающего и реактивного поиска угроз безопасности в источниках данных вашей организации. Дополнительные сведения см. в статье "Поиск угроз" в Microsoft Sentinel.

Снимок экрана: среда поиска угроз Microsoft Sentinel.

Но это только начало. Microsoft Sentinel использует KQL для оповещений, визуализаций книги, синтаксического анализа и преобразования данных. Так как Microsoft Sentinel построен на основе службы Azure Monitor и использует рабочие области Log Analytics Azure Monitor для хранения всех своих данных, Microsoft Sentinel также предоставляет представление журналов для прямых запросов таблиц для поиска подключений в данных.

Дополнительные сведения о продукте см. в разделе "Что такое Microsoft Sentinel?"

Azure Resource Graph

Azure Resource Graph — это служба Azure, предназначенная для расширения управления ресурсами Azure. Это позволяет эффективно управлять средой, обеспечивая эффективное и эффективное исследование ресурсов с возможностью запрашивать в масштабе по заданному набору подписок. С помощью Azure Resource Graph можно получить доступ к возвращаемым поставщикам ресурсов свойств без необходимости выполнять отдельные вызовы к каждому поставщику ресурсов.

Снимок экрана: среда запроса в Azure Resource Graph.

Azure Resource Graph поддерживает подмножество типов данных KQL, скалярных функций, скалярных операторов и агрегатных функций. Resource Graph поддерживает определенные табличные операторы, некоторые из которых отличаются поведению. Мы обобщаем это поведение в поддерживаемых элементах языка KQL.

Дополнительные сведения о продукте см. в статье "Что такое Azure Resource Graph?

Microsoft Defender XDR

XDR в Microsoft Defender — это единый набор защиты от сложных атак, который обеспечивает встроенную защиту от сложных атак. Она изначально координирует обнаружение, предотвращение, исследование и ответ между конечными точками, удостоверениями, электронной почтой и приложениями. Ваша группа операций безопасности получает оповещение на портале Microsoft Defender при обнаружении вредоносного или подозрительного действия или артефакта. Тем не менее, недостаточно реагировать на атаки по мере их возникновения. Для расширенных многофакторных атак, таких как программ-шантажистов, необходимо заранее искать доказательства атаки, выполняемой и предпринять действия, чтобы остановить его до завершения.

Снимок экрана: среда поиска угроз XDR в Microsoft Defender.

расширенная охота — это средство поиска угроз на основе запросов, которое позволяет изучать необработанные данные за период до 30 дней. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы. Дополнительные сведения см. в статье "Упреждающая охота на угрозы с расширенным поиском в XDR в Microsoft Defender".

Дополнительные сведения о продукте см. в разделе "Что такое XDR в Microsoft Defender?

диспетчер конфигураций

Configuration Manager является частью семейства продуктов Microsoft Intune, которая предоставляет большое централизованное хранилище данных устройства, которые клиенты используют для создания отчетов. CMPivot — это служебная программа в консоли, которая предоставляет доступ к состоянию устройств в режиме реального времени в вашей среде.

Снимок экрана: среда запроса в CM Pivot в Configuration Manager.

CMPivot использует подмножество KQL для поиска терминов, определения тенденций, анализа шаблонов и предоставления многих других аналитических сведений на основе данных. Дополнительные сведения см. в разделе "Запросы CMPivot".

Дополнительные сведения о продукте см. в разделе "Что такое Configuration Manager?"