KQL-frågemiljöer

  • 6 minuter

Nu när du är medveten om KQL ska vi titta på de olika frågemiljöerna där du kan använda KQL i Microsoft-produkter.

De miljöer som vi beskriver i den här lektionen är Azure Data Explorer, Realtidsinformation i Microsoft Fabric, Azure Monitor, Microsoft Sentinel, Azure Resource Graph, Microsoft Defender XDR och Configuration Manager.

Öppna Azure-datautforskaren

Azure Data Explorer är en fullständigt hanterad analysplattform med höga prestanda och stordata som gör det enkelt att analysera stora mängder data i nära realtid. Med verktygslådan Azure Data Explorer får du en lösning från slutpunkt till slutpunkt för datainmatning, frågor, visualisering och hantering.

Azure Data Explorer gör det enkelt att extrahera viktiga insikter, upptäcka mönster och trender och skapa prognosmodeller. Den använder Machine Learning och analyserar strukturerade, halvstrukturerade och ostrukturerade data över tidsserier. Azure Data Explorer är skalbart, säkert, robust och företagsklart och är användbart för logganalys, tidsserieanalys, IoT och generell undersökande analys.

Skärmbild av frågemiljön i Azure Data Explorer.

KQL har utvecklats för Azure Data Explorer och kan användas i olika miljöer, inklusive webbgränssnittet, Kusto CLI och Skrivbordsappen Kusto.Explorer. Du hittar den fullständiga dokumentationen för frågespråket i KQL-översikten.

Mer produktinformation finns i Vad är Azure Data Explorer?

Realtidsinformation i Microsoft Fabric

Microsoft Fabric är en allt-i-ett-analyslösning för företag som omfattar allt från dataflytt till datavetenskap, analys i nästan realtid och business intelligence. Det erbjuder en omfattande uppsättning tjänster, inklusive en datasjö, datateknik och dataintegrering, allt på ett och samma ställe. Realtidsinformation är en fullständigt hanterad plattform för stordataanalys som är optimerad för strömning och tidsseriedata. Realtidsinformation innehåller vad vi kan se som SaaS-versionen av Azure Data Explorer. Mer specifikt kan du använda KQL i KQL Queryset för att köra frågor, visa och anpassa frågeresultat på data från en KQL-databas. Du kan också spara frågor för senare användning eller dela med andra för att samarbeta om datautforskning.

Skärmbild av frågan i Realtidsinformation.

Mer information finns i Fråga efter data i en KQL-frågeuppsättning.

Mer produktinformation finns i Vad är realtidsinformation i Infrastrukturresurser?

Azure Monitor

Azure Monitor samlar in, analyserar och svarar på telemetri från dina Azure-, multimolns- och lokala miljöer för att maximera tillgängligheten och prestandan för dina program och tjänster. Azure Monitor korrelerar data från flera källor, inklusive mått, loggar, spårningar och ändringar, och tillhandahåller en uppsättning verktyg för att analysera, visualisera och svara på data. Dessa verktyg omfattar insikter, aviseringar, autoskalning och automatiserad artificiell intelligens för IT-åtgärder (AIOps).

Med Log Analytics-verktyget i Azure Portal kan du redigera och köra loggfrågor mot data i Azure Monitor-loggarkivet.

Skärmbild av Azure Monitor Log Analytics-användargränssnittet för att köra frågor.

Azure Monitor använder samma KQL som Azure Data Explorer, med några mindre skillnader. Referens finns i Språkskillnader.

Mer produktinformation finns i Översikt över Azure Monitor.

Microsoft Sentinel

Microsoft Sentinel är en skalbar, molnbaserad lösning som tillhandahåller säkerhetsinformation och händelsehantering (SIEM), samt säkerhetsorkestrering, automatisering och svar (SOAR). Många funktioner i Microsoft Sentinel använder KQL. Kunskaper om KQL är värdefulla när du använder Microsoft Sentinels sök- och frågeverktyg för att proaktivt och reaktivt jaga efter säkerhetshot i organisationens datakällor. Mer information finns i Hotjakt i Microsoft Sentinel.

Skärmbild av hotjaktsmiljön i Microsoft Sentinel.

Men det är bara en början. Microsoft Sentinel använder KQL för aviseringar, arbetsboksvisualiseringar, parsare och transformering av data. Eftersom Microsoft Sentinel bygger på Azure Monitor-tjänsten och använder Azure Monitors Log Analytics-arbetsytor för att lagra alla sina data, tillhandahåller Microsoft Sentinel även en loggvy för direkttabellfrågor för att hitta anslutningar i data.

Mer produktinformation finns i Vad är Microsoft Sentinel?

Azure Resource Graph

Azure Resource Graph är en Azure-tjänst som har utformats för att utöka Azure Resource Management. Det gör att du effektivt kan styra din miljö genom att tillhandahålla effektiv och högpresterande resursutforskning med möjlighet att fråga i stor skala över en viss uppsättning prenumerationer. Med Azure Resource Graph kan du komma åt egenskaperna som resursprovidrar returnerar utan att behöva göra enskilda anrop till varje resursprovider.

Skärmbild av frågemiljön i Azure Resource Graph.

Azure Resource Graph stöder en delmängd av KQL-datatyper, skalärfunktioner, skaläroperatorer och aggregeringsfunktioner. Resource Graph stöder specifika tabelloperatorer, varav vissa har olika beteenden. Vi sammanfattar det här beteendet i KQL-språkelement som stöds.

Mer produktinformation finns i Vad är Azure Resource Graph?

Microsoft Defender XDR

Microsoft Defender XDR är en enhetlig företagsförsvarssvit före och efter intrång som ger integrerat skydd mot avancerade attacker. Den samordnar identifiering, förebyggande, undersökning och svar mellan slutpunkter, identiteter, e-post och program. Ditt säkerhetsteam får en avisering i Microsoft Defender-portalen när en skadlig eller misstänkt aktivitet eller artefakt upptäcks. Det räcker dock inte att svara på attacker när de inträffar. För utökade flerfasattacker, till exempel utpressningstrojaner, måste du proaktivt söka efter bevis för en pågående attack och vidta åtgärder för att stoppa den innan den slutförs.

Skärmbild av hotjaktsmiljön i Microsoft Defender XDR.

Avancerad jakt är ett frågebaserat verktyg för hotjakt där du kan utforska upp till 30 dagars rådata. Du kan proaktivt inspektera händelser i nätverket för att hitta hotindikatorer och entiteter. Den flexibla åtkomsten till data möjliggör obehindrat jakt på både kända och potentiella hot. Mer information finns i Proaktiv jakt efter hot med avancerad jakt i Microsoft Defender XDR.

Mer produktinformation finns i Vad är Microsoft Defender XDR?

Konfigurationshanteraren

Configuration Manager är en del av Microsoft Intune-serien med produkter, som tillhandahåller ett stort centraliserat lager av enhetsdata som kunder använder i rapporteringssyfte. CMPivot är ett konsolverktyg som ger åtkomst till realtidstillstånd för enheter i din miljö.

Skärmbild av frågemiljön i CM Pivot i Configuration Manager.

CMPivot använder en delmängd av KQL för att söka efter termer, identifiera trender, analysera mönster och tillhandahålla många andra datadrivna insikter. Mer information finns i CMPivot-frågor.

Mer produktinformation finns i Vad är Configuration Manager?