簡介
Kusto 查詢語言 (KQL) 是用來對數據執行分析的查詢語言,以在 Microsoft Sentinel 中建立分析、活頁簿和執行搜捕。 瞭解如何使用 KQL 語句來處理包含結構化和非結構化字串數據的欄位,為擷取在 Microsoft Sentinel 中建置偵測中使用的數據提供了基礎。
您是安全性作業分析師,任職的公司正在導入 Microsoft Sentinel。 您負責執行記錄資料分析,以搜尋惡意活動、顯示視覺效果,以及執行威脅搜尋。
若要查詢記錄資料,您可以使用 Kusto 查詢語言 (KQL)。 資料表中的欄位通常會儲存結構化和非結構化字串資料。 您可以撰寫 KQL 陳述式,以解壓縮和操作儲存在這些欄位中的資料。 典型的案例是儲存在欄位中的索引鍵/值組,您必須查詢索引鍵的特定值。