KQL 查询环境

  • 6 分钟

现在,你已经了解了 KQL,让我们看看可在 Microsoft 产品中使用 KQL 的不同查询环境。

本单元中描述的环境包括 Azure 数据资源管理器Microsoft Fabric 中的实时智能Azure MonitorMicrosoft SentinelAzure Resource GraphMicrosoft Defender XDRConfiguration Manager

Azure 数据资源管理器

Azure 数据资源管理器是一种完全托管的高性能大数据分析平台,可让你轻松地以准实时方式分析大量数据。 Azure 数据资源管理器工具包提供了用于数据引入、查询、可视化和管理的端到端解决方案。

Azure 数据资源管理器可以轻松提取关键见解、发现模式和趋势以及创建预测模型。 它使用机器学习,并且可以分析跨时间序列的结构化、半结构化和非结构化数据。 Azure 数据资源管理器可缩放、安全、可靠且企业就绪,对日志分析、时间序列分析、IoT 和通用探索性分析非常有用。

Azure 数据资源管理器中的查询环境的屏幕截图。

KQL 是为 Azure 数据资源管理器开发的,可用于各种环境,包括 Web UIKusto CLIKusto.Explorer 桌面应用。 可以在 KQL 概述中找到完整的查询语言文档集。

有关更多产品信息,请参阅什么是 Azure 数据资源管理器?

Microsoft Fabric 中的实时智能

Microsoft Fabric 是面向企业的一体化分析解决方案,涵盖从数据移动到数据科学、准实时分析和商业智能等所有内容。 它提供一套全面的服务,包括数据湖、数据工程和数据集成,全部放在一个位置。 实时智能是一个完全托管的大数据分析平台,针对流式处理和时序数据进行了优化。 R实时智能包含可视为 Azure 数据资源管理器的 SaaS 版本的内容。 具体来说,可以使用 KQL 查询集中的 KQL 对 KQL 数据库中的数据运行查询、查看和自定义查询结果。 还可以保存查询以供日后使用,或与其他人共享以协作探索数据。

实时智能中的查询的屏幕截图。

有关详细信息,请参阅在 KQL 查询集中查询数据

有关更多产品信息,请参阅 Fabric 中的实时智能是什么?

Azure Monitor

Azure Monitor 可收集、分析和响应来自 Azure、多云和本地环境的遥测数据,帮助最大程度地提高应用程序和服务的可用性和性能。 Azure Monitor 将来自多个源(包括指标、日志、跟踪和更改)的数据关联起来,并提供一组工具来分析、可视化和响应数据。 这些工具包括见解、警报、自动缩放和用于 IT 运营的人工智能 (AIOps) 功能。

通过 Azure 门户中的 Log Analytics 工具,你可编辑日志查询并针对 Azure Monitor 日志存储中的数据运行这些查询。

该屏幕截图显示了用于运行查询的 Azure Monitor Log Analytics 用户界面。

Azure Monitor 与 Azure 数据资源管理器使用相同的 KQL,但存在一些细微区别。 如需参考,请查看语言差异

有关更多产品信息,请参阅 Azure Monitor 概述

Microsoft Sentinel

Microsoft Sentinel 是可缩放的云原生解决方案,它提供安全信息与事件管理 (SIEM) 以及安全业务流程、自动化和响应 (SOAR)。 Microsoft Sentinel 中的许多功能都使用 KQL。 在使用 Microsoft Sentinel 的搜寻搜索和查询工具主动和被动地搜寻组织数据源中的安全威胁时,熟练使用 KQL 非常有用。 有关详细信息,请参阅 Microsoft Sentinel 中的威胁搜寻

Microsoft Sentinel 威胁搜寻环境的屏幕截图。

但这只是一个开始。 Microsoft Sentinel 将 KQL 用于警报、工作簿可视化效果、分析器和数据转换。 Microsoft Sentinel 基于 Azure Monitor 服务构建,并使用 Azure Monitor 的 Log Analytics 工作区来存储其所有数据,因此 Microsoft Sentinel 还提供了日志视图,用于直接查询表来查找数据中的连接。

有关更多产品信息,请参阅什么是 Microsoft Sentinel?

Azure Resource Graph

Azure Resource Graph 是可以扩展 Azure 资源管理的 Azure 服务。 它使你能够进行高效、高性能的资源探索以及跨给定订阅集进行大规模查询,从而有效管理环境。 使用 Azure Resource Graph,可以访问资源提供程序返回的这些属性,无需对资源提供程序进行单独调用。

Azure Resource Graph 中的查询环境的屏幕截图。

Azure Resource Graph 支持部分 KQL 数据类型、标量函数、标量运算符和聚合函数。 Resource Graph 支持特定的表格运算符,其中一些运算符具有不同的行为。 关于此行为的总结,请参阅支持的 KQL 语言元素

有关更多产品信息,请参阅什么是 Azure Resource Graph?

Microsoft Defender XDR

Microsoft Defender XDR 是一个统一的违规前和违规后企业防御套件,可提供针对复杂攻击的集成保护。 它可以原生协调各终结点、标识、电子邮件和应用程序中的检测、阻止、调查和响应。 每当检测到恶意/可疑活动或项目时,安全运营团队都会在 Microsoft Defender 门户中收到警报。 但是,这不足以在攻击发生时对其进行响应。 对于勒索软件等扩展的多阶段攻击,必须主动搜索正在发起的攻击的证据,并在攻击完成之前采取措施来遏止它。

Microsoft Defender XDR 威胁搜寻环境的屏幕截图。

高级搜寻是一种基于查询的威胁搜寻工具,可用于浏览最长 30 天内的原始数据。 你可以主动检查网络中的事件来查找威胁指标和实体。 通过灵活地访问数据,可以无限制地搜寻已知和潜在的威胁。 有关详细信息,请参阅使用 Microsoft Defender XDR 中的高级搜寻功能主动搜寻威胁

有关更多产品信息,请参阅什么是 Microsoft Defender XDR?

配置管理器

Configuration Manager 是 Microsoft Intune 产品系列的一部分,该系列提供客户用于报告目的的大型设备数据集中存储。 CMPivot 是控制台中的一款实用工具,它提供对环境中设备实时状态的访问。

该屏幕截图显示了 Configuration Manager 中的 CM Pivot 中的查询环境。

CMPivot 使用 KQL 的子集来搜索字词、识别趋势、分析模式并提供其他许多数据驱动的见解。 有关详细信息,请参阅 CMPivot 查询

有关更多产品信息,请参阅什么是 Configuration Manager?