簡介
Kusto 查詢語言 (KQL) 是用於執行資料分析的查詢語言,可建立 Analytics、Workbooks,並在 Microsoft Sentinel 中執行搜尋。 了解如何使用 KQL 陳述式來將不同資料表的資料相互關聯,以提供在 Microsoft Sentinel 中組建偵測的基礎。
您是安全性作業分析師,任職的公司正在導入 Microsoft Sentinel。 您負責執行記錄資料分析,以搜尋惡意活動、顯示視覺效果,以及執行威脅搜尋。
若要查詢記錄資料,您可以使用 Kusto 查詢語言 (KQL)。 KQL 陳述式的結果集通常必須與另一個結果集合併或聯結。 您可以使用 union 運算子來合併兩個結果集。 Join 運算子會根據索引鍵值,將資料列聯結在一起。 您必須瞭解 KQL 陳述式的順序會如何影響預期的結果。
提示
您可以在 LA 示範網站中測試下列 KQL 查詢範例。 如果您收到「找不到結果」的訊息,請嘗試變更時間範圍。