簡介

已完成

Kusto 查詢語言 (KQL) 是用於執行資料分析的查詢語言,可建立 Analytics、Workbooks,並在 Microsoft Sentinel 和 Microsoft Defender XDR 中執行搜尋。 了解如何使用 KQL 陳述式來摘要和將資料視覺化,以建立有效的威脅偵測的基礎。

您是安全性作業分析師,任職的公司正在導入 Microsoft Sentinel。 您負責執行記錄資料分析,以搜尋惡意活動、顯示視覺效果,以及執行威脅搜尋。 若要查詢記錄資料,您可以使用 Kusto 查詢語言 (KQL)。 您可以撰寫 KQL 陳述式,以彙總相關資料供模式偵測。 其中一個彙總可能是登入失敗的次數。 這項資訊結合了預定的閾值,舉例來說,可用來發出「過去一小時內,登入失敗超過 10 次的帳戶」警示。

KQL 摘要運算子會執行計算。 若要快速查看模式,分析師可以將結果以圖形視覺化。 KQL 轉譯運算子會執行視覺效果。 結合摘要和轉譯運算子可提供進階視覺效果的基礎,包括時間分段和時間截分。

提示

您可以在 LA 示範網站中測試下列 KQL 查詢範例。 如果您收到「找不到結果」的訊息,請嘗試變更時間範圍。