Introduktion
Kusto-frågespråk (KQL) är det frågespråk som används för att analysera data för att skapa analys, arbetsböcker och utföra jakt i Microsoft Sentinel. Att förstå hur man arbetar med fält som innehåller strukturerade och ostrukturerade strängdata med en KQL-instruktion är grunden för att extrahera data som används i byggidentifieringar i Microsoft Sentinel.
Du är säkerhetsanalytiker och arbetar på ett företag som implementerar Microsoft Sentinel. Du ansvarar för att utföra loggdataanalys för att söka efter skadlig aktivitet, visa visualiseringar och utföra hotjakt.
Om du vill köra frågor mot loggdata använder du Kusto-frågespråk (KQL). Fält i en tabell lagrar ofta strukturerade och ostrukturerade strängdata. Du skriver KQL-instruktioner för att extrahera och manipulera data som lagras i dessa fält. Ett typiskt scenario är ett nyckel/värde-par som lagras i ett fält och du måste fråga efter det specifika värdet för en nyckel.