Einführung
Die Kusto-Abfragesprache (Kusto Query Language, KQL) dient der Untersuchung von Daten zum Erstellen von Analysen und Arbeitsmappen sowie der Ausführung von Huntingvorgängen in Microsoft Sentinel. Ein Verständnis der grundlegenden KQL-Anweisungsstruktur ist eine wichtige Voraussetzung für das Erstellen komplexer Anweisungen.
Sie sind Security Operations Analyst in einem Unternehmen, das Microsoft Sentinel implementiert. Sie sind für die Analyse von Protokolldaten verantwortlich, um nach schädlichen Aktivitäten zu suchen, Visualisierungen anzuzeigen und Bedrohungen aufzuspüren. Zum Abfragen von Protokolldaten verwenden Sie die Kusto-Abfragesprache (KQL).
Sie beschäftigen sich zunächst mit der grundlegenden Struktur einer KQL-Anweisung, um sich mit dem Schreiben von KQL-Abfragen vertraut zu machen. Die Grundlagen umfassen die Auswahl der abzufragenden Tabelle, die Vorgehensweise beim Anwenden eines Filters und die Rückgabe bestimmter Spalten.