مقدمة
لغة Kusto Query Language (KQL) هي لغة الاستعلام المستخدمة لإجراء تحليل البيانات لإنشاء التحليلات والمصنفات وتنفيذ عمليات التتبع في Microsoft Sentinel. يوفر فهم كيفية تلخيص البيانات وتصورها باستخدام عبارة KQL الأساس اللازم لإنشاء عمليات الكشف في Microsoft Sentinel.
بصفتك محللاً لعمليات الأمان تعمل في شركة تنفذ Microsoft Sentinel. أنت مسؤول عن إجراء تحليل بيانات السجل للبحث عن نشاط ضار وعرض المرئيات وتنفيذ تتبع التهديدات. للاستعلام عن بيانات السجل، يمكنك استخدام لغة Kusto Query (KQL). ستكتب عبارات KQL التي تجمع البيانات التي تسمح بكشف الأنماط وتربطها. وقد يكون أحد هذه التجميعات هو عدد عمليات تسجيل الدخول الفاشلة. يمكن استخدام هذه المعلومات، بالترافق مع حد محدد سلفًا، لإنشاء تنبيه عن «حساب حصل فيه أكثر من 10 عمليات فاشلة لتسجيل الدخول في الساعة الماضية» كمثال.
ينفذ عامل تشغيل تلخيص KQL العمليات الحسابية. لرؤية نمط بسرعة، يمكن للمحلّل تصور النتائج في رسم بياني. ينفذ عامل تشغيل عرض KQL التصورات. يوفر الجمع بين عاملي تشغيل التلخيص والعرض الأساس للتصورات المتقدمة، بما في ذلك المستودع الزمني والتقطيع الزمني.