Introduktion
Kusto-frågespråk (KQL) är det frågespråk som används för att analysera data för att skapa analys, arbetsböcker och utföra jakt i Microsoft Sentinel och Microsoft Defender XDR. Att förstå hur du sammanfattar och visualiserar data med en KQL-instruktion är grunden för att skapa effektiva hotidentifieringar.
Du är säkerhetsanalytiker och arbetar på ett företag som implementerar Microsoft Sentinel. Du ansvarar för att utföra loggdataanalys för att söka efter skadlig aktivitet, visa visualiseringar och utföra hotjakt. Om du vill köra frågor mot loggdata använder du Kusto-frågespråk (KQL). Du skriver KQL-instruktioner som aggregerar och korrelerar data som möjliggör mönsteridentifiering. En sådan aggregering kan vara antalet misslyckade inloggningar. Den här informationen, i kombination med ett förutbestämt tröskelvärde, kan användas för att generera en avisering för "Konto med över 10 misslyckade inloggningar under den senaste timmen" som exempel.
KQL-sammanfattningsoperatorn utför beräkningarna. Om du snabbt vill se ett mönster kan en analytiker visualisera resultatet i en graf. KQL-återgivningsoperatorn utför visualiseringen. Genom att kombinera sammanfattnings- och återgivningsoperatorerna finns grunden för avancerade visualiseringar, inklusive tids bucketing och tidsslicering.
Dricks
Du kan testa följande KQL-frågeexempel på LA Demo-webbplatsen. Om du får meddelandet "Inga resultat hittades" kan du prova att ändra tidsintervallet.