Introduktion
Kusto-frågespråk (KQL) är det frågespråk som används för att analysera data för att skapa analys, arbetsböcker och utföra jakt i Microsoft Sentinel och Microsoft Defender XDR. Att förstå grundläggande KQL-instruktionsstruktur är grunden för att skapa mer komplexa instruktioner.
Du är säkerhetsanalytiker och arbetar på ett företag som implementerar Microsoft Sentinel. Du ansvarar för att utföra loggdataanalys för att söka efter skadlig aktivitet, visa visualiseringar och utföra hotjakt. Om du vill köra frågor mot loggdata använder du Kusto-frågespråk (KQL).
Om du vill lära dig att skriva KQL börjar du med den grundläggande strukturen för en KQL-instruktion. Grunderna omfattar vilken tabell som ska frågas, hur du tillämpar ett filter och hur du returnerar specifika kolumner.