Training
Modul
Erstellen von KQL-Anweisungen für Microsoft Sentinel - Training
Erstellen von KQL-Anweisungen für Microsoft Sentinel
Dieser Browser wird nicht mehr unterstützt.
Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features, Sicherheitsupdates und den technischen Support zu nutzen.
Die WMI-Abfragesprache (WMI Query Language, WQL) ist Teil der ANSI SQL (American National Standards Institute Structured Query Language) mit geringfügigen Semantikänderungen. In der folgenden Tabelle sind die WQL-Schlüsselwörter aufgeführt:
WQL-Schlüsselwort | Bedeutung |
---|---|
AND |
Kombiniert zwei boolesche Ausdrücke und gibt TRUE zurück, wenn beide Ausdrücke TRUE sind. |
ASSOCIATORS OF | Ruft alle Instanzen ab, die einer Quellinstanz zugeordnet sind. Verwenden Sie diese Anweisung mit Schema- und Datenabfragen. |
__CLASS | Verweist auf die Klasse des Objekts in einer Abfrage. |
FROM |
Gibt die Klasse an, die die in einer SELECT-Anweisung aufgeführten Eigenschaften enthält. Die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) unterstützt Datenabfragen von jeweils nur einer Klasse. |
GROUP-Klausel | Bewirkt, dass WMI eine Benachrichtigung generiert, die eine Gruppe von Ereignissen darstellt. Verwenden Sie diese Klausel mit Ereignisabfragen. |
HAVING | Filtert die Ereignisse, die während des in der WITHIN-Klausel angegebenen Gruppierungsintervalls empfangen werden. |
IS | Vergleichsoperator, der mit NOT und NULL verwendet wird. Die Syntax für diese Anweisung lautet wie folgt: IS [NOT] NULL (NOT ist dabei optional.) |
ISA | Operator, der eine Abfrage auf die Unterklassen einer angegebenen Klasse anwendet. Weitere Informationen finden Sie unter ISA-Operator für Ereignisabfragen, ISA-Operator für Datenabfragen und ISA-Operator für Schemaabfragen. |
KEYSONLY |
Wird in Abfragen vom Typ REFERENCES OF und ASSOCIATORS OF verwendet, um sicherzustellen, dass die resultierenden Instanzen nur mit den Schlüsseln der Instanzen aufgefüllt werden. Dadurch wird der Mehraufwand für den Aufruf reduziert. |
LIKE | Operator, der bestimmt, ob eine angegebene Zeichenfolge mit einem angegebenen Muster übereinstimmt. |
NICHT |
Vergleichsoperator, der in einer WQL SELECT-Abfrage verwendet wird, z. B.:
|
NULL | Gibt an, dass ein Objekt keinen explizit zugewiesenen Wert hat.
NULL ist nicht gleichbedeutend mit Null (0) oder keiner Angabe. |
oder |
Kombiniert zwei Bedingungen. Werden in einem Ausdruck mehrere logische Operatoren verwendet, werden die OR-Operatoren nach den AND-Operatoren ausgewertet. |
REFERENCES OF | Ruft alle Zuordnungsinstanzen ab, die auf eine bestimmte Quellinstanz verweisen. Verwenden Sie diese Anweisung mit Schema- und Datenabfragen. Die REFERENCES OF-Anweisung ähnelt der ASSOCIATORS OF-Anweisung. Sie ruft jedoch keine Endpunktinstanzen ab. Sie ruft die Zuordnungsinstanzen ab. |
SELECT |
Gibt die Eigenschaften an, die in einer Abfrage verwendet werden. Weitere Informationen finden Sie unter SELECT-Anweisung für Datenabfragen, SELECT-Anweisung für Ereignisabfragen und SELECT-Anweisung für Schemaabfragen. |
TRUE | Boolescher Operator, der als -1 (minus 1) ausgewertet wird. |
WHERE | Schränkt den Bereich einer Daten-, Ereignis- oder Schemaabfrage ein. |
WITHIN | Gibt ein Abruf- oder Gruppierungsintervall an. Verwenden Sie diese Klausel mit Ereignisabfragen. |
FALSE |
Boolescher Operator, der als 0 (null) ausgewertet wird. |
Hinweis
Die Verwendung eines WQL-Schlüsselworts als Objektname kann zu einer Abfrage führen, die selbst dann nicht analysiert werden kann, wenn die Abfrage ohne Fehler kompiliert wird.
Training
Modul
Erstellen von KQL-Anweisungen für Microsoft Sentinel - Training
Erstellen von KQL-Anweisungen für Microsoft Sentinel