Introduktion
Kusto-frågespråk (KQL) är det frågespråk som används för att analysera data för att skapa analys, arbetsböcker och utföra jakt i Microsoft Sentinel. Att förstå hur du korrelerar data från olika tabeller med en KQL-instruktion är grunden för att skapa identifieringar i Microsoft Sentinel.
Du är säkerhetsanalytiker och arbetar på ett företag som implementerar Microsoft Sentinel. Du ansvarar för att utföra loggdataanalys för att söka efter skadlig aktivitet, visa visualiseringar och utföra hotjakt.
Om du vill köra frågor mot loggdata använder du Kusto-frågespråk (KQL). Ofta måste en resultatuppsättning från en KQL-instruktion kombineras eller kopplas till en annan resultatuppsättning. Du kan använda unionoperatorn för att kombinera två resultatuppsättningar. Kopplingsoperatorn sammanfogar rader baserat på ett nyckelvärde. Du måste förstå hur ordningen på en KQL-instruktion påverkar dina förväntade resultat.
Dricks
Du kan testa följande KQL-frågeexempel på LA Demo-webbplatsen. Om du får meddelandet "Inga resultat hittades" kan du prova att ändra tidsintervallet.