KQL-feladatok létrehozása a Microsoft Sentinel data lake-ben

A KQL-feladatok egyszeri vagy ütemezett KQL-lekérdezések a Microsoft Sentinel data lake-ben lévő adatokon. Vizsgálati és elemzési forgatókönyvekhez használjon feladatokat, például:

• Hosszú ideig futó egyszeri lekérdezések incidensvizsgálatokhoz és incidenskezeléshez (IR)
• Adatösszesítési feladatok, amelyek alacsony megbízhatósági naplók használatával támogatják a bővítési munkafolyamatokat
• A fenyegetésfelderítési információk korábbi egyezéseinek vizsgálata retrospektív elemzések céljából
• Anomáliadetektálási vizsgálatok, amelyek több tábla szokatlan mintáit azonosítják

A KQL-feladatok különösen akkor hatékonyak, ha a lekérdezések illesztéseket vagy egyesítéseket használnak különböző adathalmazokban.

Feladatok futtatásával áthelyezhet adatokat az adat-tó szintről az analitikai szintre. Az elemzési szinten a speciális keresési KQL-szerkesztővel kérdezheti le az adatokat. Az adatok elemzési szintre való előléptetése a következő előnyökkel jár:

• Az elemzési szint aktuális és előzményadatainak kombinálásával speciális elemzési és gépi tanulási modelleket futtathat az adatain.
• A lekérdezési költségek csökkentése a lekérdezések elemzési szinten való futtatásával.
• Több munkaterület adatainak kombinálása egyetlen munkaterülettel az elemzési szinten.
• Az elemzési szint Microsoft Entra ID, Microsoft 365 és Microsoft Resource Graph-adatainak kombinálásával speciális elemzéseket futtathat adatforrások között.

Megjegyzés:

Az elemzési szinten a tárolás magasabb számlázási díjakat von maga után, mint a data lake rétegben. A költségek csökkentése érdekében csak azokat az adatokat válassza ki, amelyeket tovább kell elemeznie. A lekérdezés KQL-jének használatával csak a szükséges oszlopokat vetítse ki, és szűrje az adatokat az elemzési szintre előléptetett adatok mennyiségének csökkentése érdekében.

Előléptetheti az adatokat egy új táblába, vagy hozzáfűzheti az eredményeket egy meglévő táblához az elemzési szinten. Új tábla létrehozásakor a rendszer _KQL_CL utótaggal adhatja meg a tábla nevét, amely jelzi, hogy a táblát egy KQL-feladat hozta létre.

Előfeltételek

A KQL-feladatok Microsoft Sentinel data lake-ben való létrehozásához és kezeléséhez az alábbi előfeltételekre van szükség.

Bevezetés a data lake-be

Ha KQL-feladatokat szeretne létrehozni és kezelni a Microsoft Sentinel data lake-ben, először be kell vennie a data lake-be. További információ a data lake-be való előkészítésről: Onboard to the Microsoft Sentinel data lake.

Engedélyek

Microsoft Entra ID szerepkörök széles körű hozzáférést biztosítanak a Data Lake összes munkaterületén. Ha az összes munkaterületen szeretne táblákat olvasni, írni az elemzési szintre, és KQL-lekérdezésekkel ütemezni a feladatokat, rendelkeznie kell a támogatott Microsoft Entra ID szerepkörök egyikével. A szerepkörökről és az engedélyekről további információt a Microsoft Sentinel Data Lake-szerepkörök és -engedélyek című témakörben talál.

Ha új egyéni táblákat szeretne létrehozni az elemzési szinten, rendelje hozzá a Log Analytics Közreműködő szerepkört a Log Analytics munkaterületen a data lake által felügyelt identitáshoz.

A szerepkör hozzárendeléséhez kövesse az alábbi lépéseket:

1. A Azure portálon lépjen arra a Log Analytics munkaterületre, amelyhez hozzá szeretné rendelni a szerepkört.
2. A bal oldali navigációs panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
3. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.
4. A Role táblában válassza a *Log Analytics Közreműködő, majd a Next lehetőséget.
5. Válassza a Felügyelt identitás lehetőséget, majd válassza a Tagok kiválasztása lehetőséget.
6. A Data Lake által felügyelt identitás egy rendszer által hozzárendelt felügyelt identitás, amely "msg-resources-<guid>" néven ismert. Válassza ki a felügyelt identitást, majd válassza a Kiválasztás lehetőséget.
7. Válassza a Véleményezés és hozzárendelés funkciót.

A szerepkörök felügyelt identitásokhoz való hozzárendeléséről további információt az Azure szerepkörök hozzárendelése az Azure portálon című részben talál.

Feladat létrehozása

Létrehozhat munkafolyamatokat, hogy ütemezés szerint vagy egyszeri alkalommal fussanak. Feladat létrehozásakor meg kell adnia az eredmények cél-munkaterületét és táblázatát. Az eredményeket megírhatja egy új táblába, vagy hozzáfűzheti őket egy meglévő táblához az elemzési szinten. Létrehozhat egy új KQL-feladatot, vagy létrehozhat egy feladatot a lekérdezési és feladatbeállításokat tartalmazó sablonból. További információ: KQL-feladat létrehozása sablonból.

1. Indítsa el a feladatlétrehozás folyamatát a KQL-lekérdezésszerkesztőből vagy a feladatkezelési oldalról.

   1. Ha a KQL lekérdezésszerkesztőből szeretne feladatot létrehozni, válassza a Feladat létrehozása gombot a lekérdezésszerkesztő jobb felső sarkában.

   2. Feladat létrehozásához a feladatkezelő oldalon válassza a Microsoft Sentinel>Adattó-tárház felfedezése>Feladatok lehetőséget, majd kattintson a Feladat létrehozása gombra.

2. Adjon meg egy feladatnevet. A feladat nevének egyedinek kell lennie a bérlő számára. A feladatnevek legfeljebb 256 karaktert tartalmazhatnak. Feladatnévben nem használhat # vagy - karaktereket.

3. Adjon meg egy feladatleírást , amely megadja a feladat kontextusát és célját.

4. A Munkaterület kiválasztása legördülő listában válassza ki a cél munkaterületet. Ez a munkaterület abban az elemzési szinten található, ahol meg szeretné írni a lekérdezés eredményeit.

5. Válassza ki a céltáblát:

   1. Új tábla létrehozásához válassza az Új tábla létrehozása lehetőséget, és adjon meg egy táblanevet. A KQL-feladatok által létrehozott táblákhoz hozzá van fűzve _KQL_CL utótag a tábla nevéhez.

   2. Ha meglévő táblához szeretne hozzáfűzni, válassza a Hozzáadás meglévő táblához lehetőséget, és válassza ki a tábla nevét a legördülő listából. Meglévő táblához való hozzáadáskor a lekérdezés eredményeinek meg kell egyeznie a meglévő tábla sémájának.

6. Válassza a Következőlehetőséget.

7. Tekintse át vagy írja meg a lekérdezést a Lekérdezés előkészítése panelen. Ellenőrizze, hogy az időválasztó a feladathoz szükséges időtartományra van-e beállítva, ha a dátumtartomány nincs megadva a lekérdezésben.

8. Válassza ki azokat a munkaterületeket, amelyen futtatni szeretné a lekérdezést a Kijelölt munkaterületek legördülő listából. Ezek a munkaterületek azok a forrás-munkaterületek, amelyek tábláit le szeretné kérdezni. A kiválasztott munkaterületek határozzák meg a lekérdezéshez elérhető táblákat. A kijelölt munkaterületek a lekérdezésszerkesztő összes lekérdezési lapjára vonatkoznak. Ha több munkaterületet használ, az union() operátor alapértelmezés szerint a különböző munkaterületekről származó azonos nevű és sémájú táblákra lesz alkalmazva. workspace() Az operátorral például lekérdezhet egy táblát egy adott munkaterületrőlworkspace("MyWorkspace").AuditLogs.

   Megjegyzés:

   Ha egy meglévő táblába ír, a lekérdezésnek olyan sémával kell visszaadnia az eredményeket, amely megfelel a céltábla sémájának. Ha a lekérdezés nem a megfelelő sémával adja vissza az eredményeket, a feladat futtatása sikertelen lesz.

9. Válassza a Következőlehetőséget.

   

   A lekérdezési feladat ütemezése lapon adja meg, hogy egyszer vagy ütemezésben szeretné-e futtatni a feladatot. Ha az Egyszeri lehetőséget választja, a feladat a feladatdefiníció befejeződése után azonnal lefut. Ha az Ütemezés lehetőséget választja, megadhatja a feladat futtatásának dátumát és időpontját, vagy futtathatja a feladatot ismétlődő ütemezés szerint.

10. Válassza az Egyszeri vagy az Ütemezett feladat lehetőséget.

    Megjegyzés:

    Az egyszeri feladatok szerkesztése azonnal elindítja a végrehajtást.

11. Ha az Ütemezés opciót választotta, adja meg a következő adatokat:

    1. Válassza ki az Ismétlés gyakoriságot a legördülő listában. Választhat percenként, óránként, naponta, hetente vagy havonta.
    2. Állítsa be az Ismétlés minden értéket, hogy a feladat milyen gyakran fusson a kiválasztott gyakorisággal.
    3. Az Ütemezés beállítása csoportban válasszon egy Kezdő dátumot, és adjon meg egy időpontot. A Feladat kezdési időpontjának a From mezőben legalább 30 perccel a feladat létrehozása után kell lennie. A feladat a Futtatás minden legördülő listában kiválasztott gyakoriságnak megfelelően ettől a dátumtól és időtől fut.
    4. Válassza ki a Vége dátumot, és adjon meg egy időpontot, amikor befejeződik a feladatütemterv. Ha azt szeretné, hogy az ütemezés határozatlan ideig folytatódjon, válassza a Feladat beállítása lehetőséget a határozatlan ideig történő futtatáshoz.

    A kezdési és befejezési időpontok a felhasználó területi beállításai szerint vannak meghatározva.

    Megjegyzés:

    Ha egy feladatot nagy gyakoriságú futtatásra ütemez, például 30 percenként, figyelembe kell vennie, hogy mennyi időbe telik, amíg az adatok elérhetővé válnak a data lake-ben. Az újonnan betöltött adatok lekérdezéséhez általában legfeljebb 15 percnyi késés érhető el.

12. Válassza a Tovább lehetőséget a feladat részleteinek áttekintéséhez.

    

13. Tekintse át a feladat részleteit, és válassza a Küldés lehetőséget a feladat létrehozásához. Ha a feladat egyszeri feladat, akkor a Küldés gombot választva fut. Ha a feladat ütemezve van, a feladat bekerül a feladatok listájába a Feladatok lapon, és a kezdési adatok és időpontok szerint fut.

14. Az ütemezett feladat után megjelenik a következő oldal. A feladatot a hivatkozás kiválasztásával tekintheti meg.

Feladat létrehozása sablonból

KQL-feladatot előre definiált feladatsablonból hozhat létre. A feladatsablonok tartalmazzák a KQL-lekérdezést és a feladatbeállításokat, például a cél-munkaterületet és a táblát, az ütemezést és a leírást. Létrehozhat saját feladatsablonokat, vagy használhatja a Microsoft által biztosított beépített sablonokat.

Ha sablonból szeretne feladatot létrehozni, kövesse az alábbi lépéseket:

1. A Feladatok lapon vagy a KQL lekérdezésszerkesztőben válassza a Feladat létrehozása, majd a Létrehozás sablonból lehetőséget.

2. A Feladatsablonok lapon válassza ki a használni kívánt sablont az elérhető sablonok listájából.

3. Tekintse át a leírás és a KQL lekérdezést a sablonból.

4. Válassza a Feladat létrehozása sablonból lehetőséget.

   

5. Megnyílik a feladatlétrehozás varázsló az Új KQL-feladat létrehozása laplal. A feladat részletei előre feltöltve vannak a sablonból, kivéve a cél-munkaterületet.

6. Válassza ki a cél-munkaterületet a Munkaterület kiválasztása legördülő listából.

7. Szükség szerint tekintse át és módosítsa a feladat részleteit, majd a Tovább gombra kattintva folytassa a feladatlétrehozás varázslót.

8. A többi lépés megegyezik egy új feladat létrehozásával. A mezők előre fel vannak töltve a sablonból, és szükség szerint módosíthatók. További információ: Feladat létrehozása.

A következő sablonok érhetők el:

Sablon neve	Kategória
A rendellenes bejelentkezési helyek száma nő Az Entra ID bejelentkezési naplóinak trendelemzésének elemzése a felhasználók különböző alkalmazások közötti szokatlan helyváltozásainak észleléséhez a hely sokszínűségének trendvonalainak számításával. Az első három fiókot emeli ki a helyszínváltozás legmeredekebb növekedése alapján, és felsorolja a hozzájuk tartozó helyeket a 21 napos időintervallumokon belül. Céltábla: UserAppSigninLocationTrend Lekérdezési visszatekintés: 1 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Vadászat
Rendellenes bejelentkezési viselkedés a helyváltozások alapján A rendellenes bejelentkezési viselkedés azonosítása az Entra ID-felhasználók és -alkalmazások helyváltozásai alapján a hirtelen viselkedésváltozások észleléséhez. Céltábla: UserAppSigninLocationAnomalies Lekérdezési visszatekintés: 1 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Anomáliadetektálás
Ritka tevékenységek ellenőrzése alkalmazásonként Olyan ritka műveleteket (például hozzájárulásokat, támogatásokat) végrehajtó alkalmazások keresése, amelyek nyugodtan hozhatnak létre jogosultságokat. Hasonlítsa össze az aktuális napot az utolsó 14 napos ellenőrzésekkel az új naplózási tevékenységek azonosításához. Hasznos a felhasználók/csoportok hozzáadásával vagy eltávolításával kapcsolatos rosszindulatú tevékenységek nyomon követéséhez Azure Alkalmazások és automatikus jóváhagyások alapján. Céltábla: AppAuditRareActivity Lekérdezési visszatekintés: 14 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Vadászat
Azure speciális előfizetési szintű műveletek Bizalmas Azure előfizetési szintű események azonosítása Azure tevékenységnaplók alapján. Például a "Pillanatkép létrehozása vagy frissítése" műveletnevet használó monitorozás biztonsági másolatok létrehozására szolgál, de a támadók kihasználhatják azt, hogy kivonatokat kérdezzenek le vagy érzékeny információkat nyerjenek ki a lemezről. Céltábla: AzureSubscriptionSensitiveOps Lekérdezési visszatekintés: 14 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Vadászat
Napi tevékenység trendje alkalmazásonként az AuditLogsban Az elmúlt 14 naptól kezdve azonosítsa a felhasználó vagy alkalmazás által végrehajtott "Hozzájárulás az alkalmazáshoz" műveletet. Ez azt jelezheti, hogy a felsorolt AzureApp elérésére vonatkozó engedélyeket egy rosszindulatú szereplőnek adták meg. Az alkalmazáshoz való hozzájárulásnak, a szolgáltatásnév hozzáadásának és az Auth2PermissionGrant események hozzáadásának ritkanak kell lennie. Ha elérhető, a rendszer a CorrelationId alapján további információt ad hozzá az auditnaplókhoz abból a fiókból, amely az "alkalmazáshoz való hozzájárulás" műveletet hajtotta végre. Céltábla: AppAuditActivityBaseline Lekérdezési visszatekintés: 14 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Alapkonfiguráció
Felhasználónként vagy alkalmazásonkénti tartózkodási hely napi trendje a SignInLogsben Napi trendeket hozhat létre az összes felhasználói bejelentkezéshez, helyek számához és alkalmazáshasználatához. Céltábla: UserAppSigninLocationBaseline Lekérdezési visszatekintés: 1 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Alapkonfiguráció
Napi hálózati forgalom trendje cél IP-címenként Hozzon létre egy referenciaértéket, beleértve a bájtokat és a partnereket a jeladási tevékenység és a kiszűrődések észleléséhez. Céltábla: NetworkTrafficDestinationIPDailyBaseline Lekérdezési visszatekintés: 1 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Alapkonfiguráció
Napi hálózati forgalom trendje cél IP-címenként adatátviteli statisztikákkal Azonosítsa a kimenő célhelyet elérő belső gazdagépet, beleértve a mennyiségi trendeket, a robbanási sugár becslését. Céltábla: NetworkTrafficDestinationIPTrend Lekérdezési visszatekintés: 1 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Vadászat
Napi hálózati forgalom trendje forrás IP-címenként Hozzon létre egy referenciaértéket, beleértve a bájtokat és a partnereket a jeladási tevékenység és a kiszűrődések észleléséhez. Céltábla: NetworkTrafficSourceIPDailyBaseline Lekérdezési visszatekintés: 1 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Alapkonfiguráció
Napi hálózati forgalom trendje forrás IP-címenként adatátviteli statisztikákkal A mai kapcsolatok és bájtok kiértékelése a szerver napi referenciaértéke alapján történik annak megállapításához, hogy az észlelt viselkedések jelentősen eltérnek-e a megszokott mintától. Céltábla: NetworkTrafficSourceIPTrend Lekérdezési visszatekintés: 1 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Vadászat
Napi bejelentkezési hely trend felhasználónként és alkalmazásonként Hozzon létre egy bejelentkezési alapkonfigurációt minden felhasználóhoz vagy alkalmazáshoz tipikus földrajzi és IP-címmel, így nagy méretekben hatékony és költséghatékony anomáliadetektálást tesz lehetővé. Céltábla: UserAppSigninLocationDailyBaseline Lekérdezési visszatekintés: 1 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Alapkonfiguráció
Napi folyamatvégrehajtási trend Azonosítsa az új folyamatokat és gyakoriságot, megkönnyítve az "új ritka folyamat" észlelését. Céltábla: EndpointProcessExecutionBaseline Lekérdezési visszatekintés: 1 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Alapkonfiguráció
Entra ID ritka ügyfélprogram alkalmazásonként Hozzon létre egy alapkonfigurációt a UserAgent típusának (azaz böngészőnek, office-alkalmazásnak stb.), amelyet általában egy adott alkalmazáshoz használnak, és néhány napig visszatekint. Ezután megkeresi az aktuális nap során a mintától való eltéréseket, vagyis az alkalmazással korábban nem látott UserAgent-típusokat. Céltábla: UserAppRareUserAgentAnomalies Lekérdezési visszatekintés: 7 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Anomáliadetektálás
Hálózati naplók IOC-egyeztetése A CommonSecurityLogban található egyezések keresésével azonosíthatja a fenyegetésfelderítésből (TI) származó biztonsági rések (IOC-k) IP-jelzéseit. Céltábla: NetworkLogIOCMatches Lekérdezési visszatekintés: 1 óra Ütemezés: óránként Kezdési dátum: Aktuális dátum + 1 óra	Vadászat
Az elmúlt 24 órában megfigyelt új folyamatok A stabil környezetekben lévő új folyamatok rosszindulatú tevékenységre utalhatnak. A bináris fájlok által futtatott bejelentkezési munkamenetek elemzése segíthet azonosítani a támadásokat. Céltábla: EndpointNewProcessExecutions Lekérdezési visszatekintés: 14 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Vadászat
SharePoint fájlművelet korábban nem látott IP-címeken keresztül A felhasználói viselkedést használó anomáliák azonosítása a fájlfeltöltési/letöltési tevékenységek jelentős változásainak küszöbértékének beállításával új IP-címekről. Meghatározza a tipikus viselkedés alapkonfigurációját, összehasonlítja a legutóbbi tevékenységekkel, és az alapértelmezett 25-ös küszöbértéket meghaladó eltéréseket jelöli. Céltábla: SharePointFileOpsNewIPs Lekérdezési visszatekintés: 14 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Vadászat
Palo Alto lehetséges hálózatjelző Azonosítsa a Palo Alto Network forgalmi naplóiból származó jelzőjelezési mintákat az ismétlődő időeltolási minták alapján. A lekérdezés különböző KQL-függvényeket használ az időeltolások kiszámításához, majd összehasonlítja azt az egy napban megfigyelt összes eseménysel a jelzőfények százalékos arányának megállapításához. Táblázat: PaloAltoNetworkBeaconingTrend Lekérdezési visszatekintés: 1 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Vadászat
Windows gyanús bejelentkezés normál munkaidőn kívül A felhasználói normál munkaidőn kívüli szokatlan Windows bejelentkezési események azonosításához hasonlítsa össze az elmúlt 14 napos bejelentkezési tevékenységgel, és jelölje meg az előzménymintákon alapuló rendellenességeket. Cél táblázat: WindowsLoginOffHoursAnomalies Lekérdezési visszatekintés: 14 nap Ütemezés: naponta Kezdési dátum: Aktuális dátum + 1 óra	Anomáliadetektálás

Megfontolások és korlátok

Amikor a Microsoft Sentinel data lake-ben hoz létre feladatokat, vegye figyelembe az alábbi korlátozásokat és ajánlott eljárásokat:

KQL

• Az összes KQL-operátor és -függvény támogatott, kivéve az alábbiakat:

  • adx()
  • arg()
  • externaldata()
  • ingestion_time()

• A parancs használatakor stored_query_results adja meg az időtartományt a KQL-lekérdezésben. A lekérdezésszerkesztő fölötti időválasztó nem működik ezzel a paranccsal.

• A felhasználó által definiált függvények nem támogatottak.

Munkahelyek

• A feladatneveknek egyedinek kell lenniük a bérlő számára.
• A feladatnevek legfeljebb 256 karakter hosszúságúak lehetnek.
• A feladatnevek nem tartalmazhatnak sem #-t, sem --t.
• A feladat kezdési időpontjának legalább 30 perccel a feladat létrehozása vagy szerkesztése után kell lennie.

Data Lake-betöltési késés

A data lake réteg hideg tárolóban tárolja az adatokat. A gyakori vagy közel valós idejű elemzési szintektől eltérően a hideg tárolás a hosszú távú megőrzésre és a költséghatékonyságra van optimalizálva, és nem biztosít azonnali hozzáférést az újonnan betöltött adatokhoz. Ha új sorokat ad hozzá a data lake-beli meglévő táblákhoz, az adatok lekérdezésre való rendelkezésre állása általában akár 15 percet is igénybe fog venni. A lekérdezések futtatásakor és a KQL-feladatok ütemezése során a betöltési késést úgy kell figyelembe vennie, hogy a visszatekintő ablakok és a feladatütemezések úgy vannak konfigurálva, hogy elkerüljék a még nem elérhető adatokat.

A még nem elérhető adatok lekérdezésének elkerülése érdekében adjon meg egy késleltetési paramétert a KQL-lekérdezésekben vagy -feladatokban. Ha például automatizált feladatokat ütemez, állítsa a lekérdezés befejezési idejét a now() - delay 15 perces átlagos adatkészség-késésnek megfelelő értékredelay. Ez a megközelítés biztosítja, hogy a lekérdezések csak a teljesen betöltött és elemzésre kész adatokat célozzák.

let lookback = 15m;
let delay = 15m;
let endTime = now() - delay;
let startTime = endTime - lookback;
CommonSecurityLog
| where TimeGenerated between (startTime .. endTime)

Ez a megközelítés a rövid visszatekintő ablakokkal vagy gyakori végrehajtási időközökkel rendelkező feladatok esetében hatékony.

Fontolja meg a visszatekintési időszak és a feladat gyakoriságának átfedését a hiányzó késői adatok kockázatának csökkentése érdekében.

További információ: Az ütemezett elemzési szabályok betöltési késleltetésének kezelése.

Oszlopnevek

Az oszlopneveknek betűvel kell kezdődniük.

Az alábbi szabványos oszlopok exportálása nem támogatott. A betöltési folyamat felülírja ezeket az oszlopokat a célszinten:

• BérlőAzonosító (TenantId)

• _IdőpontFogadva

• Típus

• Forrásrendszer

• _ResourceId (erőforrás azonosító)

• _SubscriptionId (előfizetési azonosító)

• _ElemAzonosító

• _BilledSize

• _Felszámítható-e

• _WorkspaceId

• TimeGenerated felül lesz írva, ha két napnál régebbi. Az eredeti eseményidő megőrzéséhez írja be a forrás időbélyegét egy külön oszlopba.

A szolgáltatáskorlátokért lásd: Microsoft Sentinel data lake szolgáltatáskorlátok.

Megjegyzés:

Részleges eredmények előléptethetők, ha a feladat lekérdezése meghaladja az egyórás korlátot.

A KQL-feladatok szolgáltatásparaméterei és korlátai

Az alábbi táblázat a KQL-feladatok szolgáltatásparamétereit és korlátait sorolja fel a Microsoft Sentinel data lake-ben.

Kategória	Paraméter/korlát
Egyidejű feladatvégrehajtás bérlőnként	3
Feladat-lekérdezés végrehajtási időtúllépése	1 óra
Bérlőnkénti munkák (engedélyezett munkák)	100
Kimeneti táblák száma feladatonként	1
Lekérdezési hatókör	Több munkaterület
Lekérdezési időtartomány	Legfeljebb 12 év

A hibaelhárítási tippeket és hibaüzeneteket a Az Microsoft Sentinel data lake KQL-lekérdezéseinek című témakörben találja.

Kapcsolódó tartalom

• Feladatok kezelése a Microsoft Sentinel data lake-ben
• Microsoft Sentinel data lake áttekintése
• KQL-lekérdezések a Microsoft Sentinel data lake-ben
• Jupyter-jegyzetfüzetek és a Microsoft Sentinel data lake