Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zkoumání datového jezera na portálu Microsoft Defender poskytuje jednotné rozhraní pro analýzu datového jezera. Umožňuje spouštět dotazy KQL (Dotazovací jazyk Kusto), vytvářet úlohy a spravovat je.
Stránka dotazy KQL v rámci zkoumání data lake umožňuje upravovat a spouštět dotazy KQL na prostředky data Lake. Vytvořte úlohy pro zvýšení úrovně dat z datového jezera na analytickou úroveň nebo vytvořte agregační tabulky v datovém jezeře. Spouštějte úlohy na vyžádání nebo je naplánujte. Stránka Úlohy umožňuje spravovat úlohy; povolte, zakažte, upravte nebo odstraňte. Další informace najdete v tématu Vytvoření úloh v Microsoft Sentinel data lake.
Požadavky
Ke spouštění dotazů KQL v Microsoft Sentinel Data Lake jsou potřeba následující požadavky.
Připojení k datovému jezeře
Po dokončení procesu registrace můžete na portálu Microsoft Defender spustit dotazy KQL. Další informace o onboardingu najdete v tématu Onboarding do datového jezera Microsoft Sentinel.
Povolení
Microsoft Entra ID role umožňují přístup ke všem pracovním prostorům v datovém jezeře. Případně můžete udělit přístup k jednotlivým pracovním prostorům pomocí rolí Azure RBAC. Uživatelé s oprávněními RBAC Azure pro pracovní prostory Microsoft Sentinel můžou spouštět dotazy KQL na tyto pracovní prostory ve vrstvě Data Lake. Další informace o rolích a oprávněních najdete v tématu role a oprávnění datového jezera Microsoft Sentinel.
Psaní dotazů KQL
Psaní dotazů pro datové jezero se podobá zápisu dotazů v pokročilém prostředí proaktivního vyhledávání. Můžete použít stejnou syntaxi a funkce KQL. KQL podporuje pokročilé analytické funkce a funkce strojového učení. Editor dotazů nabízí rozhraní pro spouštění dotazů KQL s funkcemi, jako je IntelliSense a automatické dokončování, které vám pomůžou efektivně psát. Podrobný přehled syntaxe a funkcí jazyka KQL najdete v přehledu jazyka KQL (Kusto Query Language).
Dotazy KQL na portálu Defender
Vyberte Nový dotaz a vytvořte novou kartu dotazu. Portál uloží poslední dotaz na každou kartu. Přepínání mezi kartami pro práci na více dotazech současně
Karta Historie dotazů zobrazuje seznam dříve spouštěných dotazů, doby zpracování dotazů a stavu dokončení. Předchozí dotaz můžete otevřít na nové kartě tak, že ho vyberete ze seznamu. Portál uloží historii dotazů po dobu 30 dnů. Vyberte dotaz, který chcete upravit, nebo ho spusťte znovu.
Snímek obrazovky se stránkou dotazů KQL na portálu Defender
Výběr pracovních prostorů
Dotazy můžete spouštět pro jeden pracovní prostor nebo více pracovních prostorů. Pomocí rozevíracího seznamu Vybrané pracovní prostory vyberte pracovní prostory v pravém horním rohu editoru dotazů. Vybrané pracovní prostory určují tabulky, které jsou k dispozici pro dotazování. Vybrané pracovní prostory se vztahují na všechny karty dotazů v editoru dotazů. Pokud používáte více pracovních prostorů, operátor se ve výchozím nastavení použije u tabulek se stejným názvem a schématem z různých pracovních prostorů. Použijte operátor k dotazování tabulky z konkrétního pracovního prostoru, například .
Pokud vyberete prázdný pracovní prostor nebo prostor, který je v procesu onboardingu, prohlížeč schématu nezobrazí žádné tabulky.
Snímek obrazovky znázorňující panel výběru pracovních prostorů
Výběr časového rozsahu
Pomocí nástroje pro výběr času nad editorem dotazů vyberte časový rozsah dotazu. Pomocí možnosti Vlastní časový rozsah můžete nastavit konkrétní počáteční a koncový čas. Časové rozsahy můžou být delší než 12 let.
Snímek obrazovky zobrazující selektor časového rozsahu
Můžete také zadat časový rozsah v syntaxi dotazu KQL, například:
where TimeGenerated between (datetime(2020-01-01) .. datetime(2020-12-31))where TimeGenerated between(ago(180d)..ago(90d))
Poznámka:
Dotazy jsou omezené na 500 000 řádků nebo 64 MB dat a vypršení časového limitu po 8 minutách. Při výběru širokého časového rozsahu může dotaz tyto limity překročit. Zvažte použití asynchronních dotazů pro dlouhotrvající dotazy. Další informace najdete v tématu Asynchronní dotazy.
Zobrazení informací o schématu
Prohlížeč schématu poskytuje seznam dostupných tabulek a jejich sloupců pro vybrané pracovní prostory seskupené podle kategorie. Systémové tabulky se zobrazují v kategorii Prostředky . Vlastní tabulky s , a jsou seskupeny v kategorii Vlastní protokoly. Pomocí prohlížeče schémat můžete prozkoumat data dostupná ve vašem datovém jezeře a zjišťovat tabulky a sloupce. Pomocí vyhledávacího pole můžete rychle najít konkrétní tabulky.
Snímek obrazovky znázorňující panel prohlížeče schématu v editoru KQL
Výsledkové okno
V okně výsledku se zobrazí výsledky dotazu. Výsledky můžete zobrazit ve formátu tabulky a výsledky můžete exportovat do souboru CSV pomocí tlačítka Exportovat v levém horním rohu okna výsledků. Pomocí tlačítka Zobrazit prázdné sloupce můžete přepnout viditelnost prázdných sloupců. Tlačítko Přizpůsobit sloupce umožňuje vybrat sloupce, které se mají zobrazit v okně výsledků.
Výsledky můžete hledat pomocí vyhledávacího pole v pravém horním rohu okna výsledků.
Snímek obrazovky s oknem výsledků v editoru dotazů KQL
Předem připravené dotazy
Karta Dotazy poskytuje sadu předpřipravených dotazů KQL. Tyto dotazy se týkají běžných scénářů a případů použití, jako je vyšetřování incidentů zabezpečení a proaktivní vyhledávání hrozeb. Tyto dotazy můžete použít as-is nebo je upravit tak, aby vyhovovaly vašim konkrétním potřebám.
Pomocí ikony ... vyberte dotaz ze seznamu. Můžete ho otevřít na nové záložce dotazu pro úpravy nebo ho okamžitě spustit.
Další informace o ukázkových dotazech najdete v tématu Sample KQL dotazy pro Microsoft Sentinel data lake.
Snímek obrazovky karty Ukázkové dotazy v editoru dotazů KQL
Asynchronní dotazy
Dlouhotrvající dotazy můžete spouštět asynchronně, takže můžete dál pracovat, zatímco se dotaz spouští na serveru. Pokud chcete dotaz spustit asynchronně, vyberte šipku dolů na tlačítku Spustit dotaz a pak vyberte Spustit asynchronní dotaz. Zadejte název dotazu pro identifikaci asynchronního dotazu. Po odeslání dotazu můžete sledovat jeho stav na kartě Asynchronní dotazy . Po dokončení dotazu můžete zobrazit výsledky výběrem názvu dotazu ze seznamu.
Snímek obrazovky znázorňující kartu Asynchronní dotazy v editoru dotazů KQL
Pokud spuštění synchronního dotazu trvá déle než 2 minuty, zobrazí se výzva s dotazem, jestli chcete dotaz spustit asynchronně. Vyberte Spustit asynchronně pro změnu dotazu tak, aby se spouštěl asynchronně.
Snímek obrazovky s výzvou ke změně dlouhotrvajícího dotazu na asynchronní dotaz
Načtení asynchronních výsledků dotazu
Pokud chcete zobrazit výsledky asynchronního dotazu, vyberte dokončený asynchronní dotaz na kartě Asynchronní dotazy a vyberte Načíst výsledky. Dotaz se zobrazí v komentářích v editoru dotazů a výsledky se zobrazí na kartě Výsledky.
Výsledky se ukládají po dobu 24 hodin a dají se k němu dostat vícekrát. Výsledky můžete exportovat do souboru CSV pomocí tlačítka Exportovat v levém horním rohu okna výsledků.
Snímek obrazovky zobrazující výsledky asynchronního dotazu v editoru dotazů KQL
Parametry a omezení služby pro asynchronní dotazy KQL
Následující tabulka uvádí parametry a omezení služby pro asynchronní dotazy KQL v datovém jezeře Microsoft Sentinel.
| Kategorie | Parametr/omezení |
|---|---|
| Souběžné spuštění na tenanta (zahrnuje provádění úloh) | 3 |
| Časový limit spuštění asynchronního dotazu | 1 hodina |
| Doba trvání mezipaměti | 24 hodin |
| Počet, kolikrát můžou uživatelé načíst výsledky uložené v mezipaměti | Unlimited |
| Rozsah dotazu | Více pracovních prostorů |
| Časový rozsah dotazů | Až 12 let |
Pracovní místa
Úlohy se používají ke spouštění dotazů KQL na data ve vrstvě Data Lake a zvýšení úrovně výsledků na analytickou úroveň. Můžete vytvářet jednorázové nebo naplánované úlohy a úlohy můžete povolit, zakázat, upravit nebo odstranit ze stránky Úlohy . Pokud chcete vytvořit úlohu na základě aktuálního dotazu, vyberte tlačítko Vytvořit úlohu . Další informace o vytváření a správě úloh najdete v tématu Vytvoření úloh v datovém jezeře Microsoft Sentinel.
Azure Data Explorer
Pomocí Azure Data Explorer (ADX) můžete spouštět dotazy KQL na datové jezero Microsoft Sentinel. ADX poskytuje výkonný dotazovací modul a pokročilé analytické funkce. Pokud se chcete připojit k datovému jezeru pomocí ADX, vytvořte nové připojení pomocí následujícího identifikátoru URI:
Při dotazování tabulek v datovém jezeře pomocí ADX musíte použít funkci pro přístup k datům. Například:
external_table("AADRiskyUsers")
| take 100
Úvahy a omezení dotazů
Dotazování starších tabulek, jako je AzureDiagnostics, se nepodporuje.
Dotazy se spouští proti vybraným pracovním prostorům. Před spuštěním dotazu se ujistěte, že jste vybrali správné pracovní prostory.
Při provádění dotazů KQL na Microsoft Sentinel data lake se účtují poplatky na základě měřičů fakturace dotazů. Další informace naleznete v tématu Náklady na plán a porozumění cenám a fakturaci Microsoft Sentinel.
Zkontrolujte zásady příjmu dat a uchovávání tabulek. Před nastavením časového rozsahu dotazů mějte na paměti uchovávání dat v tabulkách Data Lake a na to, jestli jsou data dostupná pro vybraný časový rozsah. Další informace najdete v tématu Spravování datových vrstev a uchovávání na portálu Microsoft Defender.
Dotazy KQL na datové jezero jsou méně výkonné než dotazy na úrovni analýzy. Dotazy KQL používejte na datové jezero pouze při zkoumání historických dat nebo při ukládání tabulek v režimu jen pro datové jezero.
Aktuálně se podporují následující řídicí příkazy KQL:
.show version.show databases.show databases entities.show database
Při použití příkazu zadejte časový rozsah v dotazu KQL. Selektor času nad editorem dotazů s tímto příkazem nefunguje.
Použití předefinovaných nebo vlastních funkcí se v dotazech KQL na datové jezero nepodporuje.
Volání externích dat prostřednictvím dotazu KQL na datové jezero se nepodporuje.
Všechny operátory a funkce KQL jsou podporovány s výjimkou následujících:
adx()arg()externaldata()ingestion_time()
Parametry a omezení služby pro dotazy KQL na úrovni lake
Následující omezení parametrů služby platí při psaní dotazů v Microsoft Sentinel data lake.
| Kategorie | Parametr/omezení |
|---|---|
| Souběžné interaktivní dotazy | 45 za minutu |
| Výsledky dotazu | 64 MB |
| Řádky výsledků dotazu | 500 000 řádků |
| Obor dotazu | Více pracovních prostorů |
| Vypršení časového limitu dotazu | 4 minuty |
| Časový rozsah umožňující dotazování | Až 12 let v závislosti na uchovávání dat. |
Informace o řešení potíží s dotazy KQL najdete v Řešení problémů s dotazy KQL v datovém jezeře Microsoft Sentinel.